Los estafadores nunca pierden la oportunidad de ganar dinero rápido y les encanta aprovechar las últimas tendencias. Entonces, ¿qué mejor manera de iniciar la temporada de estafas que ofreciendo ofertas de Black Friday en uno de los productos más populares que existen: una taza Stanley?
Encontramos un anuncio en Facebook que ofrecía un Stanley Quencher por el módico precio de 19 dólares:
Anuncio de Facebook para Stanley Quenchers
Normalmente, estas tazas Stanley se venden por 45 dólares en Amazon. Son muy populares ya que, según se informa, mantienen las bebidas frías durante 11 horas y calientes durante siete horas. Incluso si tu auto se quema .
Al hacer clic en el anuncio, accederá a un sitio web turbio en el mejor de los casos donde podrá elegir entre Stanley.
Sitio web en el dominio d-sportinggoodsus[.]com
Sugerencia: mire el nombre de dominio. A Malwarebytes tampoco le gusta.
Los clientes de Malwarebytes están protegidos
Tanto el sitio como el procesador de pagos están registrados en Hong Kong y estarán felices de quedarse con su dinero sin hacer nada a cambio.
Para ganarse la confianza del comprador, los comentarios de Facebook están poblados por bots y/o cuentas comprometidas.
Comentarios de Facebook de personas que afirman haber recibido los productos.
Como siempre, utilice sus mejores sentidos arácnidos para detectar estafas como estas. Con esta estafa en particular, es probable que solo pierda el dinero que pagó a los estafadores, pero otras estafas pueden terminar en pérdidas mucho mayores .
¿Cómo se evitan los malos anuncios?
Probablemente tengas la URL que necesitas . A veces es más fácil buscar una marca que ingresar la URL completa, pero si va directamente allí, no verá ningún anuncio malo que se esconda en los resultados de su búsqueda.
Búsqueda cuidadosa . Si necesita buscar, haga una referencia cruzada de las URL que ve en los motores de búsqueda con una búsqueda propia. Si es legítimo, debería ver una gran cantidad de personas y empresas haciendo referencia a él.
Reportar anuncios malos . Si un anuncio patrocinado no sirve para nada, debería haber una manera de informarlo desde el motor de búsqueda o la plataforma de redes sociales en la que lo encontró. ¡Estás haciendo tu parte para ayudar a la próxima persona que venga a mantenerse a salvo!
La espinosa cuestión del bloqueo . Si elige bloquear anuncios, tenga en cuenta que la forma en que los bloquee puede afectar la funcionalidad del sitio en el que se encuentra. Algunos sitios insistirán en que desactive su bloqueador de anuncios. Es posible que otros simplemente ya no funcionen si utiliza el bloqueo de secuencias de comandos o desactiva JavaScript. No se trata tanto de “trabajo hecho”, sino de “trabajo que recién comienza”.
Recuerde, si es demasiado bueno para ser verdad, probablemente no lo sea y podría significar que alguien está tratando de engañarlo para que pague por algo que nunca obtendrá.
Una banda de ransomware presenta una queja ante la SEC sobre la víctima
Publicado: 17 de noviembre de 2023 por Pieter Arntz
En lo que parece ser un nuevo giro en el tema del ransomware, el notorio grupo de ransomware ALPHV/BlackCat ha presentado una queja ante la Comisión de Bolsa y Valores de EE. UU. (SEC) sobre la empresa de software MeridianLink.
ALPHV es uno de los operadores de ransomware como servicio (RaaS) más activos y aparece periódicamente en nuestras revisiones mensuales de ransomware . MeridianLink ofrece “soluciones de préstamos digitales” a bancos, cooperativas de crédito, fintechs y otras instituciones financieras.
Desde el 5 de septiembre de 2023, la SEC ha exigido a las empresas públicas que revelen en un plazo de cuatro días todas las violaciones de ciberseguridad que podrían afectar sus resultados. Aparentemente ALPHV está al tanto de las nuevas reglas y en esta captura de pantalla del formulario de queja de la SEC escribió:
“Queremos llamar su atención sobre un tema preocupante relacionado con el cumplimiento por parte de MeridianLink de las reglas de divulgación de incidentes de ciberseguridad adoptadas recientemente.
Nos ha llamado la atención que MeridianLink, a la luz de una violación significativa que compromete los datos del cliente y la información operativa, no ha presentado la divulgación requerida según el Artículo 1.05 del Formulario 8-K dentro de los cuatro días hábiles estipulados, según lo dispuesto por la nueva SEC. normas.»
El artículo al que se hace referencia (Formulario 8-K, artículo 1.05) establece:
“Los solicitantes de registro deben revelar cualquier incidente de ciberseguridad que experimenten y que se determine que es material, y describir los aspectos materiales de su:
– Naturaleza, alcance y oportunidad; y
– Impacto o impacto razonablemente probable.
Se debe presentar un Formulario 8-K del Artículo 1.05 dentro de los cuatro días hábiles posteriores a la determinación de que un incidente fue importante. Un solicitante de registro puede retrasar la presentación como se describe a continuación, si el Fiscal General de los Estados Unidos (“Fiscal General”) determina que la divulgación inmediata representaría un riesgo sustancial para la seguridad nacional o pública.
Los registrantes deben modificar un Formulario 8-K del Artículo 1.05 anterior para revelar cualquier información solicitada en el Artículo 1.05(a) que no se determinó o no estaba disponible en el momento de la presentación inicial del Formulario 8-K. “
Como puede ver, existen posibles excepciones y, por lo que sabemos, la investigación sobre la naturaleza y la gravedad de la violación de datos aún está en curso. O lejos de ser tan material como ALPHV quiere hacernos creer.
“Salvaguardar la información de nuestros clientes y socios es algo que nos tomamos en serio. MeridianLink identificó recientemente un incidente de ciberseguridad que tuvo lugar el 10 de noviembre. Al descubrirlo ese mismo día, actuamos de inmediato para contener la amenaza y contratamos a un equipo de expertos externos para investigar el incidente. Según nuestra investigación hasta la fecha, no hemos identificado evidencia de acceso no autorizado a nuestras plataformas de producción y el incidente ha causado una interrupción mínima del negocio.
No tenemos más detalles que ofrecer actualmente, ya que nuestra investigación está en curso”.
Al parecer, a los operadores de ransomware les gusta fingir que lo que están haciendo es su deber cívico. Este mosaico está publicado en la página de inicio del sitio de filtraciones de la pandilla.
Al hacer clic, encontramos la captura de pantalla del formulario y una declaración no explicativa de por qué completaron el formulario.
“A pesar de este requisito, MeridianLink no ha cumplido con esta obligación respecto al incumplimiento que experimentó hace una semana. Por lo tanto, hemos informado este incumplimiento por parte de MeridianLink, quien estuvo involucrado en una violación material que afectó los datos del cliente y la información operativa, por no presentar la divulgación requerida ante la Comisión de Bolsa y Valores (SEC). Parece que MeridianLink se comunicó, pero aún no hemos recibido un mensaje de su parte. Quizás fue su DFIR, Mandiant, quien lo hizo sin autorización de su cliente. Cualquiera que sea el motivo… le damos 24 horas antes de publicar los datos en su totalidad”.
Cualquiera que sea la razón detrás de la aparente decisión de MeridianLink de no reportar el ciberincidente (todavía), la acción tomada por ALPHV ciertamente es algo que no hemos visto antes. Puede ser una advertencia o un intento de obtener una influencia adicional. Sabiendo lo difícil que puede ser determinar el alcance de un ciberataque en tan solo unos días, podemos esperar que esto suceda con más frecuencia.
Cómo evitar el ransomware
Bloquear formas comunes de entrada. Cree un plan para reparar rápidamente las vulnerabilidades en los sistemas conectados a Internet; y deshabilite o refuerce el acceso remoto como RDP y VPN.
Prevenir intrusiones. Detenga las amenazas temprano, antes de que puedan infiltrarse o infectar sus puntos finales. Utilice software de seguridad para endpoints que pueda prevenir exploits y malware utilizados para distribuir ransomware.
Detectar intrusiones. Haga más difícil para los intrusos operar dentro de su organización segmentando las redes y asignando derechos de acceso con prudencia. Utilice EDR o MDR para detectar actividad inusual antes de que ocurra un ataque.
Detenga el cifrado malicioso. Implemente software de detección y respuesta de endpoints como Malwarebytes EDR , que utiliza múltiples técnicas de detección diferentes para identificar ransomware y reversión de ransomware para restaurar archivos del sistema dañados.
Cree copias de seguridad fuera del sitio y fuera de línea. Mantenga las copias de seguridad fuera del sitio y fuera del alcance de los atacantes. Pruébelos periódicamente para asegurarse de que puede restaurar rápidamente las funciones comerciales esenciales.
No te dejes atacar dos veces. Una vez que haya aislado el brote y haya detenido el primer ataque, debe eliminar todo rastro de los atacantes, su malware, sus herramientas y sus métodos de entrada, para evitar ser atacado nuevamente.
Este artículo se basa en una investigación de Marcelo Rivero, especialista en ransomware de Malwarebytes, que monitorea la información publicada por bandas de ransomware en sus sitios Dark Web. En este informe, los “ataques conocidos” son aquellos en los que la víctima no pagó un rescate. Esto proporciona la mejor imagen general de la actividad del ransomware, pero el número real de ataques es mucho mayor.
En octubre, se publicaron 318 nuevas víctimas en sitios de fuga de ransomware. Las principales pandillas activas fueron LockBit (64), NoEscape (40) y PLAY (36). Las principales historias del mes incluyeron el desmantelamiento de varios grupos de alto perfil, incluido el presunto atacante de Sony Systems, RansomedVC, nuevos datos que arrojan luz sobre el sesgo de Cl0p en el sector educativo y una inmersión profunda que revela el peligro del grupo detrás de los infames ataques a casinos de septiembre.
El mes pasado, tres importantes grupos de ransomware (RansomedVC, Ragnar y Trigona) fueron clausurados, los dos primeros por las fuerzas del orden y el tercero por hacktivistas ucranianos. Profundicemos en RansomedVC, un grupo que irrumpió en escena en agosto y rápidamente ganó notoriedad por supuestamente violar varias empresas conocidas. A finales de octubre, se vio en Telegram al principal hacker detrás del grupo intentando vender la operación. Apenas unos días después, la cuenta anunció que estaba “poniendo fin” al grupo después de enterarse de que seis de sus afiliados podrían haber sido arrestados. El grupo había publicado 42 víctimas en su sitio de filtración en el momento de su eliminación.
Si bien las autoridades aún no han confirmado los arrestos de RansomedVC, no ocurre lo mismo con el grupo RagnarLocker, que Europol y Eurojust anunciaron que habían desmantelado el mes pasado. RagnarLocker comenzó en 2019 y fue responsable de numerosos ataques de alto perfil contra municipios e infraestructuras críticas en todo el mundo. En el momento de la acción de eliminación, el grupo había publicado un total de 42 víctimas en su sitio de filtración.
La desaparición de Trigona, por otro lado, no fue a manos de investigadores sino de activistas, lo que destaca el impacto que las luchas geopolíticas más amplias pueden tener en el panorama del ransomware. A mediados de octubre, la Alianza Cibernética Ucraniana (UCA) violó el servidor de Trigona Confluence y eliminó y desfiguró por completo sus sitios. Formada alrededor de 2016 para defender el ciberespacio de Ucrania contra la interferencia rusa, la UCA utilizó un exploit público para CVE-2023-22515 para obtener acceso a la infraestructura de Trigona. Trigona es responsable de al menos 30 ataques en varios sectores desde que surgió por primera vez en octubre de 2022.
En otras noticias de octubre, Resilience, una compañía de seguros cibernéticos, informó que el 48% de todas las víctimas de ciberataques de MOVEit en su base de clientes durante el primer semestre de 2023 pertenecían al sector educativo. Esto sugiere una posible preferencia de orientación de la campaña Cl0p hacia las instituciones educativas. Sin embargo, es posible que esta cifra no represente plenamente la situación.
Por ejemplo, si Resilience tiene una mayor proporción de clientes en el sector educativo, podría sesgar los datos hacia ese sector. Por otro lado, los datos de Malwarebytes indican que, si bien el sector educativo comprende sólo el 3% de todos los hosts de MOVEit, representa el 6% de las víctimas. Sin embargo, es probable que esta tendencia no se deba a un enfoque deliberado por parte de Cl0p, cuyos ataques fueron de alcance más oportunista, sino más bien a que los sectores educativos a menudo tienen menos recursos para abordar rápidamente vulnerabilidades como las de MOVEit. Por tanto, el sesgo observado es más circunstancial que intencional. En cualquier caso, dado que el sector educativo depende con frecuencia de aplicaciones de terceros como MOVEit, el impacto de las actividades de Cl0p sirve como un claro recordatorio para que estas instituciones adopten las mejores prácticas sólidas de seguridad de terceros.
La profunda inmersión de Microsoft en Scattered Spider el mes pasado arrojó nueva luz sobre la banda de ransomware relativamente nueva, aunque peligrosa, que apareció en los titulares en septiembre por atacar a MGM Resorts y Caesar Entertainment . Para los equipos de seguridad pequeños, uno de los hallazgos más importantes sobre el grupo es el uso de técnicas Living Of The Land (LOTL) para evitar la detección : Scattered Spider emplea herramientas cotidianas como PowerShell para el reconocimiento y altera sigilosamente la configuración de la red para eludir las medidas de seguridad. También explotan a los proveedores de identidad y modifican los sistemas de seguridad, combinando sus actividades maliciosas con las operaciones normales de la red.
Con el éxito de grupos como Scattered Spider que dependen cada vez más de los ataques LOTL, es vital que los defensores se concentren en detectar actividades anómalas dentro de herramientas y configuraciones de red legítimas. Fortalecer las capacidades de monitoreo y análisis puede ayudar a identificar y contrarrestar las técnicas sutiles y sofisticadas empleadas por estas bandas de ransomware.
Cómo defender su sitio web contra los skimmers de tarjetas
Al corriente: por Mark Stockley Última actualización:
Se acercan el Black Friday y la temporada navideña, y se prevé que los compradores vuelvan a gastar cantidades récord este año. Los sitios web minoristas, grandes y pequeños, pueden esperar mucho interés de los compradores que buscan ofertas, y mucho interés de los ciberdelincuentes que buscan sacar provecho de esos compradores, robando los datos de su tarjeta de crédito con sigilosos skimmers de tarjetas.
Los skimmers de tarjetas, o skimmers web, son piezas de software malicioso que los delincuentes utilizan en sitios web legítimos para robar los datos de las tarjetas de crédito de los compradores. Los skimmers leen los detalles a medida que los usuarios los ingresan en los formularios de pago de los sitios, o reemplazan los formularios de pago con falsificaciones convincentes. Incluso se ha visto a los atacantes agregando páginas de pago completas a sitios que no aceptan pagos. Los skimmers pueden robar los datos de la tarjeta en tiempo real, a medida que se escriben, incluso antes de que la víctima haga clic en «enviar» en el formulario de pago.
Los skimmers permiten a los piratas informáticos robar silenciosamente a todos los clientes que realizan una compra en un sitio web infectado, hasta que son descubiertos y eliminados. Los productos Malwarebytes detectan skimmers de tarjetas y nuestro equipo de Threat Intelligence los rastrea e investiga. Sabemos que la actividad de lectura de tarjetas tiende a aumentar en línea con los días de compras ocupados, y los propietarios de las tiendas deben estar muy atentos antes de la temporada navideña.
En este artículo, explicaremos los pasos básicos que debe seguir para proteger su sitio web contra los skimmers de tarjetas. Hacer bien estos conceptos básicos también protegerá su sitio web contra una variedad de otras ciberamenazas.
Pero antes de ver cómo proteger su sitio, veamos por qué debería hacerlo, si solo tiene una pequeña tienda familiar.
Por qué no eres demasiado pequeño para ser pirateado
Si cree que su sitio web es demasiado pequeño para ser de interés para los ciberdelincuentes, piénselo de nuevo. No les importa lo pequeño que sea su sitio. En realidad. De hecho, no se preocupan por usted en absoluto y es posible que ni siquiera vean su sitio web.
Los ciberdelincuentes no ingresan a los sitios web uno por uno, utilizando su mejor suposición para averiguar su contraseña como lo hacen en las películas. Utilizan programas informáticos para escanear Internet en busca de sitios web vulnerables. Hay millones de sitios web vulnerables y escanear todo Internet para encontrarlos es rápido, barato y fácil.
Cuando encuentran un sitio en el que pueden ingresar, inyectan un skimmer de tarjetas, automáticamente.
Su objetivo es entrar en miles de sitios web a la vez y el proceso está automatizado y puede ejecutarse de forma continua. Efectivamente, a los delincuentes no les cuesta nada irrumpir en el sitio web más pequeño, por lo que cada sitio web, por pequeño que sea, es un objetivo atractivo.
Los sitios web sin una forma de pago aún pueden ser segmentados o monetizados de otras maneras, por lo que incluso si su sitio no vende nada, aún está en riesgo.
Asegurar su sitio web
Con una Internet llena de posibles objetivos entre los que elegir, no tiene que hacer mucho para que su sitio web sea menos atractivo para los atacantes. Como dice el viejo refrán, no tienes que dejar atrás al oso que te persigue, ¡solo tienes que dejar atrás a las demás personas que huyen del oso!
Entonces, ¿cómo te mueves un poco más rápido que los demás?
Paso 0, mantenga su computadora segura
El primer paso para mantener la seguridad de su sitio web es asegurarse de que su computadora, y las computadoras que pertenezcan a cualquier otra persona que administre el sitio, sean seguras. Si su computadora tiene malware, no importa qué tan seguro sea su sitio web, porque los delincuentes pueden simplemente robar su contraseña o iniciar sesión en su sitio web desde su computadora, haciéndose pasar por usted.
Mantenga su software actualizado con correcciones de seguridad e instale una solución antivirus moderna , un administrador de contraseñas y un complemento de seguridad para su navegador, como BrowserGuard .
Establezca contraseñas seguras. Nunca los comparta, nunca los reutilice
Una de las formas más fáciles de ingresar a un sitio web es adivinar una contraseña de administrador para el software que ejecuta el sitio web: su Sistema de administración de contenido (CMS). Si un atacante puede hacer eso, puede hacer lo que quiera en el sitio web, incluso agregar un skimmer de tarjetas y desmantelar cualquier defensa que tenga.
Así como no buscan sitios web manualmente, los atacantes tampoco adivinan las contraseñas manualmente. También tienen programas de computadora para eso. Y una vez que su escáner encuentre su sitio web, otro programa informático se conectará felizmente las 24 horas del día, los 7 días de la semana, tratando de adivinar su contraseña. Eventualmente seguirán adelante, pero es posible que hayan hecho miles de intentos antes de hacerlo.
La buena noticia es que puedes mejorar seriamente tu juego de contraseñas evitando algunos malos hábitos:
Contraseñas incorrectas. Los ciberdelincuentes no adivinan las contraseñas al azar, utilizan listas de contraseñas populares. Los diez mil contraseñas más comunes están llenos de secuencias fáciles de tipo como 123456, 1111y qwertyuiop, o que están hechos de nombres y palabras comunes como monkey, michaelo trustno1. Si su contraseña está en esa lista, o se parece a las contraseñas de esa lista, su sitio web está en problemas.
Contraseñas compartidas. Si comparte una contraseña con alguien, no tiene idea de si la está almacenando de forma segura o con quién podría compartirla. La única forma de garantizar que las contraseñas permanezcan en secreto es no compartirlas nunca. Dé a cada uno su propia cuenta, con su propia contraseña, y dígales que no la compartan.
Contraseñas que ha usado en otros lugares. Junto con las contraseñas comunes, los delincuentes también utilizan listas de nombres de usuario y contraseñas expuestas en violaciones de datos (esto se denomina relleno de credenciales ). Es probable que haya perdido al menos una contraseña en una violación de datos. Si nunca usa la misma contraseña dos veces, el relleno de credenciales no lo puede atrapar.
Todos son administradores. A menudo es conveniente darles a todos los que trabajan en un sitio una cuenta de administrador, para que su trabajo no se interrumpa al negarles el acceso a algo. Pero cada inicio de sesión de administrador por separado ofrece a los delincuentes otra vía potencial de entrada. Ahorre acceso de nivel de administrador para las personas que lo necesiten y apunte a la menor cantidad de administradores posible.
Puede familiarizarse con la mayoría de estos malos hábitos agregando autenticación de dos factores (2FA) a su sitio. 2FA obliga a los usuarios a proporcionar otra información con su contraseña cuando inician sesión, como un código de un solo uso de una aplicación. Cualquier CMS de sitio web decente tendrá una opción 2FA incorporada o complementos 2FA que son fáciles de encontrar e instalar.
Si su empresa utiliza una red privada virtual (VPN) para proporcionar acceso remoto y seguro a los sistemas de la empresa, también puede limitar el acceso a la pantalla de inicio de sesión de su sitio web a los usuarios de la VPN de la empresa.
Mantenga actualizado el software del sitio web, todos los días
Otra forma fácil de ingresar a un sitio web es explotar una vulnerabilidad de software en el servidor web, CMS o complementos que utiliza su sitio web. Una vulnerabilidad es una falla de codificación que permite a los atacantes hacer cosas que se supone que no pueden hacer, como agregar archivos a su sitio web o acceder a su back-end sin iniciar sesión. Cuando los proveedores de software encuentran vulnerabilidades en su software, brindan un parche de seguridad que soluciona el problema.
Su sitio web solo está protegido contra ese problema cuando aplica el parche.
Los delincuentes a menudo invierten los parches de ingenieros para averiguar qué vulnerabilidades corrigen y luego intentan usar esas vulnerabilidades para ingresar a sitios web que aún no han sido parcheados. Pueden hacer esto extremadamente rápido.
En 2014, Drupal, un CMS muy popular, lanzó una actualización por una falla de seguridad grave. Los delincuentes hicieron ingeniería inversa a la actualización y la estaban utilizando para hacerse cargo de sitios web en cuestión de horas. Más tarde, el equipo de seguridad de Drupal hizo el extraordinario anuncio de que si no había actualizado su sitio web dentro de las siete horas posteriores al lanzamiento del parche, entonces debería «considerar que es probable que su sitio ya esté comprometido».
Asegúrese de saber de quién es el trabajo de mantener el sitio web parcheado. Esto puede ser algo que las personas que crearon y mantienen su sitio web harán por usted, o un trabajo que usted debe hacer usted mismo. Hagas lo que hagas, no asumas que alguien más debe hacerlo.
Si usa WordPress, debería actualizarse automáticamente con correcciones de seguridad. Puede verificar esto iniciando sesión y yendo a Panel de control > Actualizaciones . Sin embargo, tenga en cuenta que WordPress no actualizará la mayoría de los complementos automáticamente . Las vulnerabilidades en los complementos son comunes y probablemente la mayor amenaza para su sitio web, por lo que, como mínimo, deberá iniciar sesión con regularidad para verificar y aplicar actualizaciones de complementos.
Lo mismo ocurre con otros CMS: debe iniciar sesión con regularidad para ver si hay actualizaciones que deban aplicarse. Le sugerimos que también vaya al sitio web de su proveedor de CMS (y también a los sitios de cualquier proveedor de complementos) y vea si tienen una lista de correo donde anuncian parches. Regístrese para recibir alertas si algo urgente necesita su atención.
Finalmente, este consejo se aplica a todos los sitios web bajo su control. Es bastante común que las empresas ejecuten varios sitios web en el mismo servidor. Estos pueden ser diferentes sitios web para diferentes propósitos o versiones de prueba y puesta en escena de su sitio principal. Si alguno de esos sitios web se ve comprometido, les da a los atacantes una ruta potencial para contaminar de forma cruzada todos los demás sitios en el servidor. Los sitios de prueba y puesta en escena a menudo se descuidan y, a menudo, se exponen accidentalmente a Internet, lo que los convierte en un punto vulnerable particularmente suave.
Utilice un firewall de aplicaciones web (WAF)
Un firewall de aplicaciones web (WAF) es un dispositivo o servicio basado en la nube que filtra los datos que se envían a su sitio web, eliminando los elementos que parecen maliciosos, como los ataques XSS o SQLi . También pueden evitar que los datos no autorizados (como los detalles de la tarjeta de crédito de un skimmer del lado del servidor) abandonen su sitio web si se ve comprometido.
Los WAF usan un libro de reglas para reconocer entradas y salidas maliciosas o no autorizadas, lo que significa que a menudo pueden brindar protección mucho antes que los parches. Todo lo que un proveedor de WAF necesita saber para crear una nueva regla es qué entrada utilizan los atacantes para comprometer los sitios web. Para crear un parche, un proveedor necesita saber qué entrada están usando los atacantes, pero también cómo esa entrada afecta su software y cómo solucionarlo sin romper nada.
Los WAF agregan complejidad a su entorno y pueden requerir actualizaciones periódicas, pero brindan una capa adicional útil de defensa para su sitio web. Nunca debe usar un WAF como alternativa a los parches, pero usar uno podría salvarlo si pierde un parche, es demasiado lento para aplicar uno o si los atacantes están usando una técnica de día cero que su CMS o proveedor de complementos no tiene. parcheado todavía.
Proteger a los usuarios de dependencias deshonestas
Las páginas web suelen estar compuestas por varios elementos independientes, como secuencias de comandos, imágenes, como botones, widgets para compartir, etc., extraídos de varios lugares diferentes. De hecho, no es raro que las páginas individuales tengan decenas o incluso cientos de tales dependencias, y que se extraigan de muchos dominios diferentes: código analítico y publicitario de Google, tal vez un botón Tweet de Twitter, imágenes extraídas de una entrega de contenido. Red (CDN), etc.
Los diferentes elementos solo se ensamblan en una sola página en el último minuto cuando se visualiza en un navegador web, y ese proceso se repite en la máquina de cada usuario, cada vez que se visualiza la página.
Cada dependencia es una posible puerta trasera a sus páginas web. Si un atacante puede comprometer un sitio que aloja una de sus dependencias, puede usarlo para inyectar un skimmer de tarjetas en su página cuando es ensamblada por un navegador web, sin comprometer nunca su sitio web. No puede controlar las contraseñas o los parches en los sitios de los que depende, por lo que debe tomar medidas para proteger a sus usuarios de dependencias comprometidas.
Integridad de los subrecursos
La integridad de los subrecursos es una forma de protección contra manipulaciones para scripts y hojas de estilo. Si un atacante compromete un script de terceros en el que se basa su sitio web, puede usarlo para inyectar un skimmer de tarjetas en sus páginas.
En junio de 2019, Malwarebytes Threat Intelligence descubrió exactamente este tipo de ataque en la página oficial de los Washington Wizards del sitio web NBA.com. Los atacantes habían logrado alterar un script que el sitio utilizaba y que estaba alojado en un sitio web de almacenamiento de Amazon S3.
La integridad de los subrecursos protege contra este tipo de ataque mediante el uso de huellas digitales (hashes criptográficos) para verificar que los elementos cargados por <script>o las <link>etiquetas no se hayan alterado.
Por ejemplo, supongamos que su sitio web utiliza la versión 3.6 de la popular biblioteca jQuery JavaScript. Sin la integridad de los subrecursos, la etiqueta de secuencia de comandos se vería así:
Cuando un navegador ensambla su página, descargará el código jQuery y creará su propia huella digital criptográfica a partir de él, y la comparará con la huella digital en la etiqueta. Si las huellas digitales no coinciden, el navegador asumirá que el código jQuery se ha visto comprometido y no lo ejecutará.
Política de seguridad de contenido
A veces, en lugar de cambiar una dependencia existente, los atacantes pueden encontrar suficiente influencia para agregar una nueva dependencia a su sitio, desde un sitio web que controlan.
La Política de seguridad de contenido (CSP) es una simple adición a su sitio web que puede proteger contra esta forma de ataque. Funciona enviando a los navegadores web una lista de los nombres de dominio en los que confía su sitio web y lo que confía en ellos para hacer.
Por ejemplo, digamos que su sitio web es example.comy su sitio web incluye código de Google Analytics, que se carga desde el analytics.google.comdominio. Su encabezado CSP diría que confía en su propio sitio para proporcionar todas las formas de contenido, y confía en Google Analytics para proporcionar scripts, y nada más. La instrucción real se ve así:
Política de seguridad de contenido: default-src 'self'; script-src analytics.google.com
Si un ciberdelincuente infiltra un script de lectura de tarjetas en su sitio desde el que se cargó example.xyz, los navegadores web se negarán a ejecutar el skimmer de tarjetas. Por lo tanto, aunque su sitio web se haya visto comprometido, no afectará a sus usuarios.
La CSP no es perfecta. En un ataque serio, un atacante podría obtener suficiente acceso a su sitio para eliminar las instrucciones de CSP por completo, pero en muchas situaciones no lo hará.
Puede ver si su sitio web ya tiene un encabezado CSP (y otros encabezados de seguridad útiles también) al verificarlo en securityheaders.com .
Tirando de todo junto
Asegurar su sitio y sus dependencias contra ataques es de vital importancia, pero a veces no se da cuenta de que es vulnerable hasta que es demasiado tarde, o su integridad de sub-recursos y CSP bloquean silenciosamente una dependencia deshonesta y nunca se entera de ello.
En ambos casos, desea algo que le diga tan pronto como comience el problema. Entonces, el último paso para proteger su sitio es utilizar un servicio de monitoreo de integridad de terceros que vea su sitio desde el punto de vista de sus usuarios. Estos servicios pueden encontrar skimmers de tarjetas que se escabullen a través de la red y, lo que es más importante, le dicen que hay algo que debe arreglar.
Los servicios de verificación de integridad automatizados son como usuarios que trabajan en su nombre, que visitan periódicamente páginas web importantes, como su pago, extraen todas las dependencias en tiempo real, buscan cualquier cosa que no debería estar allí y le avisan si encuentran algo.
Aunque hemos profundizado mucho en este artículo, mantener los sitios web seguros es principalmente una cuestión de configurar algunos servicios y luego hacer algunas cosas simples, una y otra vez. Al hacer de estas cosas un hábito, fortalecerá enormemente su sitio contra los skimmers de tarjetas y otros ataques, y mantendrá a sus usuarios seguros durante la temporada navideña y más allá.
Millones de clientes de Neiman Marcus han visto expuesta su información personal y financiera en una violación de datos. En un comunicado de prensa, la empresa confirmó el acceso no autorizado a las cuentas en línea de los clientes.
Según el comunicado de prensa, 4,6 millones de clientes de las tiendas del Grupo Neiman Marcus, específicamente Neiman Marcus y Last Call, están siendo notificados por correo electrónico sobre la violación de datos.
¿Qué información fue robada?
Para los clientes afectados, siempre es importante saber qué información pudo haber obtenido el actor de la amenaza. La información personal de los clientes de Neiman Marcus afectados varió y puede haber incluido:
Nombres e información de contacto
Números de tarjetas de pago y fechas de vencimiento (sin números CVV)
Números de tarjetas de regalo virtuales de Neiman Marcus (sin PIN)
Nombres de usuario, contraseñas y preguntas y respuestas de seguridad asociadas con las cuentas en línea de Neiman Marcus.
¿Qué ha hecho Neiman Marcus?
Para investigar el asunto, Neiman Marcus contrató a Mandiant, una firma estadounidense de ciberseguridad, y notificó a las fuerzas del orden. La investigación continúa.
Neiman Marcus también informó a los clientes afectados y forzó un restablecimiento de la contraseña de la cuenta en línea para los clientes afectados que no han cambiado su contraseña desde mayo de 2020. Neiman Marcus prometió continuar tomando medidas para mejorar la seguridad de su sistema y salvaguardar la información.
La compañía ha establecido un número de teléfono (866) 571-9725 y una página web para los clientes preocupados, aunque en el momento de la publicación, el sitio web no funciona.
Lo que puedes hacer
Si sabe o sospecha que puede haber sido afectado por esta violación de datos, hay algunas cosas que puede hacer.
La más importante es cambiar su contraseña y asegurarse de no haber reutilizado las mismas credenciales de inicio de sesión en otros lugares en línea. Si es así, necesitará cambiar eso también. Lo mismo es cierto para cualquier pregunta de seguridad.
A los estafadores les gusta aprovechar al máximo las violaciones de datos como esta enviando correos electrónicos falsos que intentan engañarlo para que les dé sus credenciales de inicio de sesión, así que asegúrese de ir directamente al sitio web para cambiar su contraseña.
A diferencia de Neiman Marcus, otras empresas han ofrecido servicios gratuitos de monitoreo de identidad y crédito como medida conciliadora después de una violación de datos. En este caso, tendrá que pagarlo usted mismo. Los servicios de monitoreo de crédito en realidad no pueden evitar que los ciberdelincuentes roben su identidad, pero pueden alertarlo si alguien abre una línea de crédito a su nombre.
Piénselo de esta manera, estos servicios lo alertan sobre cambios en su informe crediticio si no puede molestarse en verificar su propio informe crediticio. Si ese es el caso, entonces puede considerar registrarse y pagarle a otra persona para que controle su archivo de crédito, pero la conclusión es que estos servicios de monitoreo de crédito son solo eso: servicios de monitoreo, no protección.
Si encuentra alguna transacción no autorizada que involucre sus tarjetas de pago, comuníquese inmediatamente con la compañía de tarjetas de pago o la institución financiera correspondiente.
Los clientes tienen derecho, según la ley de los EE. UU., A un informe crediticio gratuito anual de cada una de las tres agencias de informes del consumidor a nivel nacional. Para solicitar un informe crediticio gratuito, puede visitar www.annualcreditreport.com o llamar al 1-877-322-8228.
Atribución
Como se trata de una investigación en curso, no se dispone de mucha información sobre los detalles que puedan apuntar a un determinado actor de amenazas. Los datos robados pueden en algún momento salir a la venta en foros clandestinos o en el mercado de la web oscura.
Si se pregunta si las credenciales de inicio de sesión se han puesto a disposición del público, es posible que pueda encontrarlas en el sitio web. ¿Me han pwned? Lo mismo ocurre con otras credenciales. De hecho, no está de más comprobar su dirección de correo electrónico allí de vez en cuando.
No hay razón para avergonzarse si encuentra su dirección de correo electrónico allí, siempre y cuando ya no la use en combinación con la misma contraseña. Si es así, asegúrese de cambiarlo lo antes posible. Puede utilizar un administrador de contraseñas o un libro de contraseñas para realizar un seguimiento de todas sus diferentes contraseñas.
Incluso las personas que se han involucrado en la ciberseguridad durante más de 20 años cometen errores. No estoy seguro de si ese es un pensamiento reconfortante para alguien o si todos deberían estar preocupados ahora. Pero es lo que es y tengo el hábito de reconocer mis errores. Así que aquí va.
Con la ayuda de Google pude «espiar» el paradero de mi esposa sin tener que instalar nada en su teléfono.
En mi defensa, todo este episodio sucedió en un sistema operativo en el que estoy lejos de ser un experto (Android), y estaba tratando de ser útil. Pero lo que sucedió fue inesperado.
¿Qué sucedió?
Instalé una aplicación en el teléfono Android de mi esposa y, para hacerlo, necesitaba iniciar sesión en mi cuenta de Google porque pagué por la aplicación. Todo salió bien, pero después de instalar la aplicación y probar si funcionaba, olvidé cerrar la sesión de Google Play. Tonto, lo sé, pero ahí lo tienes.
Da la casualidad de que, en el momento en que instalé la aplicación en el teléfono de mi esposa, estaba investigando cuánta información recopilaba sobre mí la función Timeline de Google Maps . La línea de tiempo es una función de Google que a menudo se pasa por alto y que «muestra una estimación de los lugares en los que puede haber estado y las rutas que puede haber tomado en función de su historial de ubicaciones». Tenía curiosidad por ver lo que Google registra sobre mí, a pesar de que nunca reviso activamente lugares ni reviso lugares.
Empecé a notar cosas extrañas, pero no podía identificar lo que estaba pasando. Me mostró lugares en los que había estado cerca, pero que nunca había visitado. Pensé que esto no era más que Google siendo un gran triunfador. Pero hace unos días recibí mi actualización y se enumeró un lugar que ni siquiera había estado cerca, pero sabía que mi esposa había estado. Entonces, de repente, me di cuenta: en realidad estaba recibiendo actualizaciones de ubicación del teléfono de mi esposa, así como del mío.
Lo único que pudo haber alertado a mi esposa sobre esta vigilancia involuntaria, pero nunca lo hice, fue mi inicial en un pequeño círculo en la esquina superior derecha de su teléfono, cuando usó la aplicación Google Play. (Debe tocar el ícono para ver los detalles completos de la cuenta en la que inició sesión).
Después de cerrar sesión en Google Play en el teléfono de mi esposa, el problema aún no se resolvió. Después de investigar un poco, supe que mi cuenta de Google se agregó a las cuentas de teléfono de mi esposa cuando inicié sesión en Play Store, pero no se eliminó cuando me desconecté después de notar el problema de seguimiento.
¿Qué necesita cambiar?
Envié un informe de problemas a Google, pero me temo que me dirán que es una función y no un error.
Hay algunas cosas que Google podría mejorar aquí:
La línea de tiempo de Google estaba habilitada en mi teléfono, no en el de mi esposa, así que siento que no debería haber recibido las ubicaciones visitadas por su teléfono.
Cuando inicié sesión con mi cuenta en su Google Play, recibí una advertencia de «inicio de sesión desde otro dispositivo». Siento que debería haber enviado algo similar a su teléfono. Algo parecido a «alguien más inició sesión en Google Play en tu teléfono».
Google Play solo muestra la primera letra de la cuenta de Google que está conectada.
Como dije, mi esposa nunca se dio cuenta, y es fácil imaginar cómo un usuario malintencionado podría superar incluso este pequeño regalo.
Por supuesto, un cínico podría decir que el obstáculo fundamental aquí es que si su modelo de negocio exige que usted acumule la mayor cantidad de información posible sobre alguien, es probable que aumenten las oportunidades para este tipo de abuso no intencional habilitado por la tecnología.
Coalición contra el Stalkerware
Malwarebytes, como uno de los miembros fundadores de la Coalición contra el Stalkerware (CAS), hace todo lo que está a su alcance para mantener a las personas a salvo de las espías. Pero los escáneres de malware se limitan a encontrar aplicaciones que espíen al usuario y envíen la información a otra parte. En este caso, incluso TinyCheck no sería útil ya que la información no se envía a un servidor malicioso conocido.
Sin embargo, deberíamos ser muy claros aquí. Esta situación no es una forma de stalkerware y, por diseño, no intenta evitar el consentimiento del usuario. Esto es más acertadamente un defecto de diseño y experiencia del usuario. Sin embargo, sigue siendo una falla que puede y debe ser señalada, porque el resultado final aún puede proporcionar un seguimiento de la ubicación del dispositivo de otra persona.
Eva Galperin, directora de ciberseguridad de Electronic Frontier Foundation, que también es socia fundadora de Coalition Against Stalkerware, dijo a Malwarebytes Labs que esta falla en realidad muestra por qué es tan importante para los desarrolladores de tecnología tener en cuenta las situaciones de abuso doméstico al diseñar su productos.
La falla «resalta la importancia de la garantía de calidad y las pruebas de usuario que toman en cuenta situaciones de abuso doméstico y toman en serio la filtración de datos de ubicación», dijo Galperin. “Uno de los momentos más peligrosos en una situación de abuso doméstico es el momento en que la sobreviviente está tratando de desenredar su vida digital de la de sus abusadores”. Ese es un momento en el que los datos de los sobrevivientes son particularmente vulnerables a este tipo de problema de configuración incorrecta y las posibles consecuencias son muy graves «.
Abuso habilitado por la tecnología
Quizás piense que con acceso físico al teléfono de mi esposa podría haberlo hecho mucho peor que esto, incluida la instalación de una aplicación de software espía. Pero este tipo de mal uso abusivo de la tecnología legítima es lo suficientemente común como para tener un nombre: abuso habilitado por la tecnología.
Y, como señaló uno de mis compañeros de trabajo, las personas a menudo son perezosas cuando se ocupan de las computadoras y, a menudo, se conforman con lo primero que encuentran que funciona. Y este es realmente un método de bajo esfuerzo para espiar el paradero de alguien. Además, no necesita instalar nada y existe una mínima posibilidad de que lo descubran.
Como detenerlo
Por ahora, lo único que podemos hacer es verificar qué cuentas se han agregado a su teléfono. Si bien esta publicación habla sobre la información de ubicación de Google Maps, estoy bastante seguro de que habrá otras aplicaciones vinculadas a su cuenta en lugar de a su teléfono. Esas aplicaciones pueden ser consultadas para obtener información por personas que no sean el propietario del teléfono si están conectadas a Google Play.
Las instrucciones a continuación pueden ser ligeramente diferentes para las diferentes versiones de Android, pero tendrá una idea de dónde buscar las cuentas agregadas.
En Configuración> Cuentas y copias de seguridad > Administrar cuentas , encontré mi cuenta de Google en la lista. Haga clic en la cuenta que desea eliminar y verá la opción para hacerlo. Después de eliminar mi cuenta desde allí en el teléfono de mi esposa, el problema de seguimiento finalmente se resolvió.
El 18 de julio, un grupo de 17 periódicos y organizaciones de medios, con la ayuda del Laboratorio de seguridad de Amnistía Internacional y el grupo de investigación Citizen Lab, reveló que una de las herramientas de software espía más avanzadas y brutalmente invasivas del mundo se había utilizado para piratear o intentar piratear, en 37 teléfonos móviles propiedad de activistas de derechos humanos, periodistas, disidentes políticos y ejecutivos de empresas.
El software espía, llamado Pegasus y desarrollado por la empresa israelí NSO Group, es fundamental para las campañas de vigilancia opresiva de varios gobiernos contra sus propios ciudadanos y residentes y, aunque NSO Group ha negado repetidamente las acusaciones de que vende Pegasus de manera cómplice a violadores de derechos humanos, Es difícil conciliar exactamente cómo el programa de software espía sin hacer clic, que roba de forma no consensuada e invisible correos electrónicos, mensajes de texto, fotos, videos, ubicaciones, contraseñas y actividad en las redes sociales, es al mismo tiempo una herramienta que puede, en su propio uso, respetar los derechos de las personas de todo el mundo a hablar libremente, asociarse de forma segura y vivir en privado.
Pegasus es software espía y el software espía no está diseñado para respetar la privacidad. Lo erosiona.
Lo que puede ser más molesto sobre los informes explosivos del domingo es que la comunidad de ciberseguridad ha sabido sobre Pegasus durante años. Los proveedores de antivirus lo detectan. Los laboratorios forenses digitales saben cómo detectarlo. Y entre 2016 y 2018, se encontró que más de 1,000 direcciones IP estaban asociadas con él .
Con herramientas como Pegasus de las que se puede abusar a escala mundial, asumimos un riesgo demasiado grande. Cuando los gobiernos autoritarios la utilizan como arma, la vigilancia enfría la libertad de expresión, ahuyenta a la disidencia y roba a un público inocente una vida que no ha sido vista, por ningún delito cometido más que decir la verdad al poder, realizar investigaciones de salud pública o simplemente amar a otra persona.
“Estoy profundamente conmocionado de que me hayan atacado mientras tenía tanto dolor esperando saber qué le había sucedido a Jamal. Este fue el peor momento de mi vida y, sin embargo, los asesinos me espiaban. No tienen vergüenza. Deben ser llevados ante la justicia «.
Pegaso en teoría
Según NSO Group, su principal programa de software espía es una herramienta beneficiosa para investigar y prevenir ataques terroristas y mantener la seguridad del público. Respondiendo a las preguntas del grupo de 17 organizaciones de medios, que publicaron sus hallazgos bajo el nombre » El Proyecto Pegasus «, el Grupo NSO dijo:
«En pocas palabras, NSO Group está en una misión para salvar vidas, y la compañía ejecutará fielmente esta misión sin inmutarse, a pesar de todos y cada uno de los intentos continuos de desacreditarlo por motivos falsos».
Después de que The Pegasus Project publicara sus hallazgos iniciales el domingo, el director ejecutivo de NSO Group, Shalev Hulio, habló con The Washington Post sobre las preocupaciones que tenía sobre cómo se ha utilizado el software de su empresa contra periodistas y activistas de derechos humanos.
“La empresa se preocupa por los periodistas y activistas y la sociedad civil en general”, dijo Hulio. «Entendemos que, en algunas circunstancias, nuestros clientes pueden hacer un mal uso del sistema y, en algunos casos, como informamos en el Informe de transparencia y responsabilidad de [NSO], hemos cerrado los sistemas para los clientes que han hecho un mal uso del sistema».
Hulio le dijo a The Washington Post que su compañía había rescindido los contratos de dos clientes debido a acusaciones de abusos a los derechos humanos, pero, según el periódico, se negó a revelar qué cuentas estaban cerradas.
Sin embargo, las explicaciones de NSO Group son solo la mitad de la historia porque, al informar sobre las revelaciones del domingo, el Proyecto Pegasus también preguntó a los gobiernos potencialmente responsables por qué usaron Pegasus para piratear los teléfonos móviles de disidentes y reporteros. Los gobiernos en cuestión negaron haber usado Pegasus en absoluto, como dijo el ministro de Asuntos Exteriores de Ruanda, o afirmaron que cualquier vigilancia llevada a cabo por sus gobiernos era legal, como lo hizo la oficina del primer ministro húngaro, Viktor Orban.
Del mismo modo, el gobierno de la India rechazó cualquier acusación de haber utilizado indebidamente a Pegasus para realizar actividades de vigilancia. Cualquier interceptación de mensajes, dijo el gobierno, se aprueba en varios niveles del gobierno de acuerdo con varias leyes.
“En la India, existe un procedimiento bien establecido mediante el cual se lleva a cabo la interceptación legal de las comunicaciones electrónicas con el fin de la seguridad nacional, en particular en caso de que ocurra una emergencia pública o en interés de la seguridad pública, por parte de las agencias del Centro. y Estados ”, dijo el gobierno . «Las solicitudes para esta interceptación legal de comunicaciones electrónicas se realizan de acuerdo con las reglas pertinentes de acuerdo con las disposiciones de la sección 5 (2) de la Ley de Telégrafos de la India de 1885 y la sección 69 de la Ley de Tecnología de la Información (Enmienda) de 2000»
Las historias gemelas que cuentan NSO Group y sus clientes, entonces, es que Pegasus es una herramienta necesaria para mantener la seguridad, y que el uso de Pegasus es legal dentro del propio régimen de vigilancia de un país.
NSO Group también ha dicho que su herramienta es cada vez más necesaria en una era en la que el cifrado de extremo a extremo está ampliamente disponible para los delincuentes.
“Las organizaciones terroristas, los cárteles de la droga, los traficantes de personas, las redes de pedófilos y otros sindicatos delictivos explotan hoy en día las capacidades de cifrado listas para usar que ofrecen las aplicaciones de comunicaciones y mensajería móvil”, dijo NSO Group a The Pegasus Project. “Estas tecnologías proporcionan a los delincuentes y sus redes un refugio seguro, lo que les permite ‘oscurecerse’ y evitar la detección, comunicándose a través de impenetrables sistemas de mensajería móvil. Las agencias estatales de aplicación de la ley y de lucha contra el terrorismo de todo el mundo han luchado por mantenerse al día «.
Esta tendencia puede ser cierta: el cifrado de extremo a extremo está más disponible hoy que nunca, ofrecido en varias aplicaciones de consumo en dispositivos Android e iOS, aunque también es exagerado. Como ha escrito anteriormente Malwarebytes Labs, el problema de «oscurecerse» a menudo se exagera , y la solución a ese problema, para hacer «puertas traseras seguras», también es tecnológicamente imposible.
Sin embargo, es importante destacar que si Pegasus fuera en realidad una herramienta crítica para detener el crimen, podría probarse. Sin embargo, en la práctica, el Proyecto Pegasus descubrió que los objetivos de Pegasus no son «organizaciones terroristas, cárteles de la droga, traficantes de personas, redes de pedófilos» u «otros sindicatos criminales», sino más bien reporteros, científicos, parejas románticas y potencialmente jefes de estado
Pegaso en la práctica
El domingo y los días siguientes, The Pegasus Project reveló el amplio elenco de víctimas que cree que han sido atacadas con el software espía Pegasus.
En sus informes, The Pegasus Project se basó en una lista de 50.000 números de teléfono obtenidos por Forbidden Stories, una organización periodística francesa sin fines de lucro . Los reporteros creen que los 50.000 números de teléfono son una lista de números de teléfono que han sido atacados con el software espía Pegasus. La lista también incluye marcas de tiempo para cada entrada de número de teléfono, que los reporteros creen que muestra cuándo un teléfono fue potencialmente atacado por primera vez por un operador de Pegasus.
En la investigación, los reporteros contactaron a decenas de personas a las que pertenecían los números de teléfono enumerados, y finalmente obtuvieron 67 dispositivos móviles que creían que habían sido atacados por el software espía.
Los 67 dispositivos fueron analizados por primera vez por el Laboratorio de Seguridad de Amnistía Internacional, que buscó rastros de software espía Pegasus y mensajes de texto maliciosos que, si se hacía clic, se sabía que explotaban las vulnerabilidades de día cero del dispositivo para instalar el software espía Pegasus y piratear teléfonos. El trabajo de Amnistía Internacional fue verificado por separado por Citizen Lab, una institución de investigación de la Universidad de Toronto que se centra en la tecnología y los derechos humanos.
En la investigación, The Pegasus Project encontró indicios de que el software espía Pegasus había intentado o exitosamente hackear 37 dispositivos. Los 30 dispositivos restantes produjeron resultados no concluyentes.
Los tres presidentes son el francés Emmanuel Macron, el iraquí Barham Salih y el sudafricano Cyril Ramaphosa. Ninguno de los jefes de estado ofreció sus dispositivos móviles al Proyecto Pegasus, por lo que es imposible saber si los dispositivos habían sido pirateados o habían recibido mensajes de texto maliciosos que pudieran resultar en un pirateo.
El posible uso de Pegasus contra presidentes, primeros ministros y princesas es solo eso: Posible. Pero recuerde que The Pegasus Project encontró evidencia de piratería o intento de piratería en 37 de los 67 dispositivos móviles que probó.
De los hechos denunciados hasta ahora, el uso de Pegasus contra esas personas no tiene ninguna marca de trabajo antiterrorista, pro seguridad o contrainteligencia.
¿Por qué se usó Pegasus para piratear los teléfonos de la esposa y prometida separada del columnista del Washington Post y crítico del gobierno de Arabia Saudita Jamal Khoshoggi, quien, según la Administración Biden, fue asesinado y desmembrado con la aprobación del Príncipe Heredero de Arabia Saudita?
¿Y por qué un operador de Pegasus envió mensajes de texto maliciosos a un científico y dos directores de organizaciones sin fines de lucro que apoyaron activamente un impuesto banal a los refrescos en México ? O ¿por qué un operador de Pegasus enviar mensajes de texto de manera similar a periodista mexicano Rafael Cabrera que, si se hace clic, podría haber informa, dio lugar a una infección Pegasus de su iPhone 6?
Este no es un trabajo de seguridad. Esto es vigilancia.
Una industria peligrosa
Pegasus no es nuevo. La compañía detrás de ella se lanzó en 2010 y, según los informes, ganó su primer cliente en el extranjero solo un año después. Durante años, Citizen Lab ha estado rastreando la propagación de Pegasus, buscando clientes gubernamentales y rastreando dispositivos móviles que fueron pirateados por el software espía. En 2016, las investigaciones del grupo ayudaron a impulsar las actualizaciones de MacOS para corregir vulnerabilidades graves que podrían haber sido explotadas por Pegasus. En 2018, Citizen Lab también identificó 45 países que potencialmente dependían de Pegasus para realizar la vigilancia.
Conocemos estos problemas desde hace años. Ya no podemos hacer la vista gorda ante este tipo de abuso. Hace dos años, un grupo de proveedores de ciberseguridad, activistas de derechos digitales y redes de apoyo a la violencia doméstica se unieron para lanzar Coalition Against Stalkerware , reconociendo la necesidad interdisciplinaria de proteger a los usuarios de la amenaza de la vigilancia de la pareja íntima.
Esperamos que hoy se pueda capturar la misma energía.
Después de conocer los hallazgos del Proyecto Pegasus, el ex contratista de defensa de la NSA y denunciante de vigilancia Edward Snowden advirtió que el software espía no es un problema menor. Está, dijo, en todas partes y hay que detenerlo .
“Cuando miro esto, lo que ha revelado el Proyecto Pegasus es un sector donde el único producto son los vectores de infección, ¿verdad? No lo hacen, no son productos de seguridad ”, dijo Snowden. “No brindan ningún tipo de protección, ningún tipo de profiláctico”.
“No fabrican vacunas. Lo único que venden es el virus ”.
En noviembre, el gigante de los juegos Capcom sufrió un ataque de ransomware . En su notificación de prensa, mencionó los diversos tipos de datos potencialmente capturados por sus atacantes. Las cosas tomaron un giro siniestro cuando se negaron a pagar el rescate, y el grupo detrás del ataque dijo que fue un movimiento equivocado. Capcom tuvo la oportunidad de «salvar los datos de fugas»; no lo tomaron. Efectivamente, poco después se filtró una colección completa de archivos.
La amenaza de caída de datos de grupos de ransomware despreciados es ahora una táctica de extorsión común. Lo que no podríamos haber predicho aquí es una de las ramificaciones de dicha caída. Es hora de adelantar las cosas hasta junio de 2021 y una fecha con una demanda. ¿El giro? La demanda no está dirigida a los autores del ransomware, sino a la empresa comprometida.
De caídas de datos y recopilaciones de investigación
Solía trabajar en el desarrollo de juegos / películas y sus alrededores hace mucho tiempo. Teníamos un presupuesto increíblemente bajo e hicimos cosas con un presupuesto muy bajo. Una fuente de ayuda invaluable en ese momento fueron las guías de recursos y las colecciones. Esencialmente: grandes libros llenos de trabajo recopilado por artistas visuales, compositores, diseñadores, quien sea. Si tenía suerte, el libro venía con un CD cargado con material del libro. ¿Aún más afortunado? Puede utilizar los contenidos para su propio trabajo de forma gratuita. Si el proyecto fuera comercial, normalmente pagaría una tarifa de licencia de algún tipo.
También hubo empresas que seleccionaron contenido de varios artistas y se aseguraron de que todas las licencias detrás de escena fueran herméticas. Donde esto a menudo salía mal era si el disco se alejaba del libro.
Las organizaciones terminarían con discos tirados en escritorios, sin nadie seguro de la fuente / quién había pagado por la licencia. Si alguien copiaba el contenido del disco, terminaría con CD autograbados tirados por el lugar que parecían ser creaciones internas. Debe tener mucho cuidado con los materiales de recursos.
Si se pregunta cómo se relaciona esto con el ataque de ransomware, estoy a punto de completar los espacios en blanco.
La consecuencia involuntaria de una fuga de datos
Un artista en este caso busca $ 12 millones en daños de Capcom , alegando que Capcom usó sus imágenes de un libro de recursos / CD en varios de sus títulos de videojuegos. Todo esto se debe a la filtración de datos del ataque de ransomware. Al menos una de las imágenes de los archivos robados y filtrados comparte el mismo nombre de archivo que lo que parece ser una imagen idéntica del CD-ROM del libro.
El documento de Juracek Vs Capcom se puede ver aquí , junto con múltiples ejemplos de imágenes que podrían llegar a los juegos. Lamentablemente, no entra en detalles en la parte más fascinante … si el artista se dio cuenta o no como resultado de la violación de datos y la posterior filtración. La mayoría de los informes simplemente dicen que el artista está utilizando la violación como parte de su evidencia. También está la cuestión de cómo se dieron cuenta de las imágenes en el basurero en primer lugar.
Si tuviera que adivinar, los fanáticos increíblemente informados vieron las imágenes de alta resolución, se preguntaron de dónde venían y quizás se pusieron en contacto con el creador. Esto no es algo inusual que suceda. A mediados de los 90, busqué al compositor de música para una serie de juegos AAA en foros de mensajes en japonés, con el fin de decirles lo genial que es su música. Es mucho más fácil hacer cosas como esta en estos días, que pueden ser una bendición o una maldición, o quizás un poco de ambas.
Independientemente de cómo lo apile, promete ser un día fascinante en la corte. Esta historia también plantea algunos otros problemas.
Convertir lo negativo en positivo
Algunos grupos de ransomware han intentado mezclarlo un poco en el ámbito de las relaciones públicas. Se presentan como renegados al estilo Robin Hood, robando a los ricos para dar a los pobres … o, más específicamente, dando a organizaciones benéficas . Una táctica interesante, excepto que las organizaciones benéficas se enfrentan a todo tipo de problemas si están dotadas de ganancias ilícitas. Como se mencionó en otra parte , existe la posibilidad de que el enfoque de «estamos siendo útiles, honestos» sea simplemente una artimaña para mantener la pretensión de respetabilidad. Aquí, sin embargo, nos encontramos con un pequeño problema.
El artista en cuestión ha presentado lo que considera una denuncia válida y, como resultado, está teniendo su día en la corte. ¿Ser capaz de vincular nombres de archivos específicos de su CD-ROM a archivos con nombre en las carpetas de Capcom de la parte posterior del truco? Eso probablemente refuerza bastante su caso.
En pocas palabras, estos autores de ransomware … y cualquier otra persona, para el caso … ahora pueden señalar esta historia como evidencia de que, de hecho, «ayudaron» a alguien de manera indirecta.
Nuevas fronteras en el mundo del ransomware
Las consecuencias del ataque podrían dar lugar a una nueva táctica de ransomware. No es exagerado pensar que los infractores buscarán violaciones de derechos de autor / relacionadas. Después de todo, algunos grupos de ransomware ya han mostrado interés en cómo pueden convertir en armas los datos que han robado, más allá de simplemente filtrarlos.
Con tantas formas de vincular los materiales encontrados con la fuente original en línea, es posible que vean esto como una ganancia fácil de relaciones públicas. Además de todos los otros problemas con el ransomware, probablemente no necesitemos que sus autores griten “¡Mira! ¡Estamos ayudando! » cada vez que aparece una nueva fuga. Cuando un creador tiene potencialmente $ 12 millones de su bolsillo, se vuelve cada vez más complicado argumentar en su contra.
Claro, esta es todavía potencialmente otra forma para las personas que realmente no se preocupan por ayudar a las personas a actuar como si lo hicieran. Pero si el resultado final es el mismo y alguien se beneficia, realmente no importa mucho. En lo que respecta a los autores de ransomware, tendrán una colección de personas que les dirán a todos lo geniales que son.
Es de esperar que no terminemos librando una guerra de relaciones públicas además de la batalla técnica que ya se está librando en las redes en todas partes. No estoy seguro de estar de acuerdo en que “cualquier publicidad es buena publicidad”, pero la buena publicidad ciertamente lo es. Entonces, en caso de que alguien se sienta tentado a ofrecer a los operadores de ransomware el beneficio de la duda, no olvidemos que son las mismas bandas del crimen organizado que piensan poco en atacar hospitales .
Tras un devastador ciberataque al Colonial Pipeline, la Administración de Seguridad del Transporte, que forma parte del Departamento de Seguridad Nacional del gobierno, emitirá su primera directiva de ciberseguridad para las empresas de oleoductos en los Estados Unidos, según un informe exclusivo de The Washington Post .
Se espera que las directivas lleguen dentro de la semana y requerirán que las empresas de oleoductos en los EE. UU. Informen sobre cualquier ciberataque que sufran a la TSA y a la Agencia de Seguridad e Infraestructura de Ciberseguridad. Dichos ataques serán informados por «funcionarios cibernéticos» recientemente designados que serán nombrados por cada empresa de oleoductos, quienes deberán tener acceso 24 horas al día, 7 días a la semana a las agencias gubernamentales, informó The Washington Post. Las empresas que se nieguen a cumplir con las directivas se enfrentarán a sanciones.
Las regulaciones representan un cambio radical en la forma en que la TSA ha protegido la seguridad de los oleoductos en el país durante más de una década. Aunque la agencia gubernamental ha tenido durante 20 años la tarea de proteger la seguridad de los vuelos en el país, las nuevas directivas de seguridad cibernética caen dentro del ámbito de la agencia luego de una reestructuración gubernamental después de los ataques del 11 de septiembre de 2001. Más de una década después de los ataques, la agencia se basó en la colaboración voluntaria con empresas privadas de oleoductos para la protección de la ciberseguridad, ofreciendo en ocasiones realizar revisiones externas de las redes y protocolos de una empresa. A veces, informó el Washington Post, esas ofertas fueron rechazadas.
Pero después de que el grupo de ransomware Darkside atacara al proveedor de petróleo y gas de la costa este Colonial Pipeline, lo que provocó un cierre de 11 días y escasez de gas en el este de EE . UU. , Parece que el gobierno federal ya no está satisfecho con la ciberseguridad rezagada de la industria privada. protecciones. El presidente Joe Biden ya ha firmado una Orden Ejecutiva para imponer nuevas restricciones a las empresas de software que venden sus productos al gobierno federal. Según se informa, esas reglas se refinaron después del ataque Colonial Pipeline y se espera que se conviertan en una norma de la industria a medida que más empresas de tecnología compitan por incluir al gobierno como un cliente importante.
Las nuevas reglas de la TSA para las empresas de oleoductos caen en la misma tendencia.
Al hablar con The Washington Post, la portavoz del Departamento de Seguridad Nacional, Sarah Peck, dijo:
“La administración Biden está tomando más medidas para asegurar mejor la infraestructura crítica de nuestra nación. La TSA, en estrecha colaboración con [la Agencia de Seguridad de Infraestructura y Ciberseguridad], se está coordinando con las empresas del sector de tuberías para garantizar que están tomando todas las medidas necesarias para aumentar su resistencia a las amenazas cibernéticas y proteger sus sistemas «.
Aunque se espera la primera directiva de la TSA esta semana, las directivas de seguimiento podrían llegar más tarde. Se informa que esas directivas incluyen reglas más detalladas sobre cómo las empresas de oleoductos protegen sus propias redes y computadoras contra un posible ciberataque, junto con una guía sobre cómo responder a los ciberataques después de que hayan ocurrido. Además, las empresas de oleoductos se verán obligadas a evaluar su propia ciberseguridad frente a un conjunto de estándares de la industria. Estas directivas, como la que se espera esta semana, también serán obligatorias, pero una guía voluntaria esperada de la TSA será si una empresa de oleoductos debe realmente solucionar cualquier problema que encuentre en una evaluación de ciberseguridad requerida.
Las nuevas reglas llevarán a la industria de gasoductos privados a un pequeño grupo de sectores regulados de la infraestructura estadounidense, incluidas las redes de energía eléctrica a granel y las plantas nucleares. Estos sectores son los valores atípicos en la infraestructura de EE. UU., Ya que la mayoría de los componentes, incluidas las presas de agua y las plantas de aguas residuales, no tienen protecciones obligatorias de ciberseguridad.
Quedan varios obstáculos para que las reglas de la TSA sean efectivas, incluida la escasez de personal en la propia agencia. Según The Washington Post, la división de seguridad de oleoductos de la TSA tenía solo un miembro del personal en 2014 y, según el testimonio de 2019, ese número había aumentado a solo cinco. Para aliviar el problema, se espera que el Departamento de Seguridad Nacional contrate 16 empleados más en TSA y 100 empleados más en CISA.