Protección de seguridad

Los clientes de Tyler Technologies, uno de los mayores proveedores de software para el gobierno estatal y federal de EE. UU., Informan haber encontrado inicios de sesión sospechosos y herramientas de acceso remoto (RAT) nunca antes vistas en sus redes y servidores. Los informes se producen días después de que Tyler Technologies admitiera la semana pasada haber sufrido un ataque de ransomware. La compañía con sede en Texas dijo que un intruso obtuvo acceso a su red interna la mañana del miércoles 23 de septiembre. El intruso instaló un ransomware que bloqueó el acceso a algunos de los documentos internos de la empresa. Tyler restó importancia al incidente y dijo que solo su red corporativa interna y sus sistemas telefónicos se vieron afectados. Su infraestructura en la nube, donde la compañía aloja sus aplicaciones orientadas al cliente, no se vio afectada, dijo la compañía en un comunicado publicado en su sitio web y mediante correos electrónicos enviados a los clientes la semana...

Universal Health Services (UHS), una compañía Fortune 500 y uno de los proveedores de atención médica más grandes de EE. UU., Se ha visto afectada por un ataque de ransomware durante el fin de semana. Los hospitales de UHS han estado operando sin sistemas de TI internos desde el domingo por la mañana, según empleados y pacientes que acudieron a las redes sociales hoy. Algunos pacientes han sido rechazados y las emergencias se han redirigido a otros hospitales después de que las instalaciones de UHS no pudieron realizar el trabajo de laboratorio. Según los empleados de UHS, el ataque de ransomware tuvo lugar en la noche entre el sábado y el domingo, del 26 al 27 de septiembre, alrededor de las 2:00 am CT. Los empleados dijeron que las computadoras se reiniciaron y luego mostraron una nota de rescate en la pantalla. Luego se apagaron las computadoras y el personal de TI pidió al personal del hospital que mantuviera los sistemas fuera de línea. ZDNet ha confirmado problemas de TI c...

Imagen: Dimitry Anikin Con la noticia de hoy de que el gigante naviero francés CMA CGM ha sido afectado por un ataque de ransomware, esto ahora significa que las cuatro mayores compañías de transporte marítimo del mundo han sido afectadas por ciberataques en los últimos cuatro años, desde 2017. Además de estos, también tenemos CMA CGM, que hoy eliminó su sistema de reserva de contenedores de envío mundial después de que sus sucursales chinas en Shanghai, Shenzhen y Guangzhou fueran atacadas por el ransomware Ragnar Locker. Esto marca un caso de estudio único, ya que no hay otro sector industrial en el que los Cuatro Grandes hayan sufrido grandes ciberataques uno tras otro como este. Pero si bien todos estos incidentes son diferentes, muestran un objetivo preferencial de la industria del transporte marítimo. "No estoy tan seguro de que sean más o menos vulnerables que otras industrias", dijo Ken Munro, investigador de seguridad de Pen Test Partners, una empresa de cibers...

Los servicios de emergencia en al menos 14 estados de EE. UU. Informaron cortes de sus líneas 911 el lunes. Los departamentos de policía informaron problemas en condados de Arizona, California, Colorado, Delaware, Florida, Illinois, Indiana, Minnesota, Nevada, Carolina del Norte, Dakota del Norte, Ohio, Pensilvania y Washington. Los condados afectados informaron que perdieron la conectividad de los servicios de teléfono y SMS del 911, pero no proporcionaron detalles técnicos sobre la fuente de la interrupción. "ATENCIÓN: Las líneas del 911 no están operativas en todo el país. Esto es para llamadas telefónicas y mensajes de texto", escribió hoy el departamento de policía de Minneapolis en Twitter al comienzo del apagón. La interrupción afectó a todos los servicios de emergencia simultáneamente y los servicios del 911 se restablecieron en 30 y 60 minutos para la mayoría de los condados afectados. Una pista del origen de la interrupción proviene de la ciudad de Redmond, W...

Imagen: QNAP El proveedor de hardware taiwanés QNAP instó a los clientes la semana pasada a actualizar el firmware y las aplicaciones instaladas en sus dispositivos de almacenamiento conectados a la red (NAS) para evitar infecciones con una nueva cepa de ransomware llamada AgeLocker. El ransomware ha estado activo desde junio de este año cuando comenzó a generar víctimas. Fue nombrado AgeLocker por su uso del algoritmo de cifrado Actually Good (AGE) para cifrar archivos. El algoritmo de cifrado AGE se considera criptográficamente seguro, lo que significa que los archivos cifrados no se pueden recuperar sin pagar la demanda de rescate. Técnicas como forzar la clave de cifrado a fuerza bruta o identificar debilidades en el esquema de cifrado no son confiables contra AGE. La imposibilidad de recuperar archivos cifrados sin pagar la demanda de rescate es la razón por la que los usuarios deben tener cuidado de proteger los dispositivos NAS de QNAP. La semana pasada, QNAP dijo que id...

Su guía para las tendencias de la computación en la nube Ver ahora El panorama de las amenazas está en constante evolución, con los actores empresariales en apuros para mantenerse al día con un aluvión frecuente de revelaciones de vulnerabilidades, actualizaciones de seguridad y el ocasional día cero. Los analistas estiman que para 2021, 3.5 millones de roles de ciberseguridad estarán sin cumplir, por lo que los profesionales de seguridad existentes no solo deben lidiar con una lucha aparentemente interminable contra los ciberatacantes, sino que también pueden tener que hacerlo con poco personal, sin mencionar el interrupción causada por COVID-19. Ver también: Seguridad en la nube: 'superhumanos sospechosos' detrás del aumento de los ataques a los servicios en línea Existen herramientas para ayudar con la tensión. Escáneres automáticos, algoritmos y software basados ​​en inteligencia artificial (AI) y aprendizaje automático (ML) que pueden administrar la seguridad de los ...

Imagen: Sebastian Herrmann Los programas de concientización sobre seguridad y phishing desaparecen con el tiempo, y los empleados deben volver a capacitarse después de unos seis meses, según un documento presentado en la conferencia de seguridad USENIX SOUPS el mes pasado. El propósito del artículo era analizar la efectividad del entrenamiento de phishing en el tiempo. Además: las campañas de phishing, desde la primera hasta la última víctima, tardan 21 horas en promedio Aprovechando el hecho de que las organizaciones del sector de la administración pública alemana deben someterse a programas obligatorios de formación de concienciación sobre phishing, académicos de varias universidades alemanas encuestaron a 409 de los 2.200 empleados de la Oficina Estatal de Geoinformación y Encuestas Estatales (SOGSS). Los investigadores probaron la efectividad de la capacitación sobre phishing a lo largo del tiempo, con pruebas periódicas a intervalos regulares, para determinar cuándo los empl...

Microsoft ha sufrido un raro lapso de seguridad cibernética a principios de este mes cuando el personal de TI de la compañía dejó accidentalmente uno de los servidores backend de Bing expuestos en línea. El servidor fue descubierto por Ata Hakcil, un investigador de seguridad de WizCase, quien compartió exclusivamente sus hallazgos con ZDNet la semana pasada. Según la investigación de Hakcil, se cree que el servidor ha expuesto más de 6 5 TB de archivos de registro que contienen 13 mil millones de registros procedentes del motor de búsqueda Bing. El investigador de Wizcase pudo verificar sus hallazgos ubicando las consultas de búsqueda que realizó en la aplicación Bing para Android en los registros del servidor. Imagen: WizCase (suministrado) Hakcil dijo que el servidor estuvo expuesto en línea del 10 al 16 de septiembre, cuando notificó al Centro de Respuesta de Seguridad de Microsoft (MSRC), y el servidor se aseguró nuevamente con una contraseña. Al ser contactado para hacer c...

Un ciudadano del Reino Unido se declaró culpable hoy de extorsionar a decenas de empresas en todo el mundo como miembro de un infame grupo de piratería conocido como The Dark Overlord (TDO). Nathan Francis Wyatt, de 39 años, fue sentenciado a cinco años de prisión y se le ordenó pagar $ 1,467,048 en restitución a las víctimas. Según los documentos judiciales, Wyatt era parte del grupo de hackers TDO desde 2016. El grupo operaba pirateando grandes empresas, robando sus datos confidenciales y luego pidiendo grandes rescates. Si las víctimas no pagaban, los piratas informáticos venderían sus datos en foros de piratería, los filtrarían en la Internet pública o avisarían a los periodistas sobre la infracción para generar una prensa negativa para la empresa pirateada. El papel de Wyatt en el plan era contactar a las víctimas y exigir el pago de un rescate. Se conectó con el grupo después de que utilizó los números de teléfono registrados a su nombre para comunicarse con algunas de las v...

Imagen: Nathan Shively Una compañía que proporciona software para ligas deportivas para administrar árbitros y oficiales de juego ha revelado un incidente de seguridad que afectó a alrededor de 540,000 de sus miembros registrados, que consisten en árbitros, oficiales de la liga y representantes escolares. ArbiterSports, el proveedor de software oficial de la NCAA (National Collegiate Athletic Association) y muchas otras ligas, dijo que se defendió de un ataque de ransomware en julio de este año. En una carta de notificación de violación de datos presentada en varios estados de los EE. UU. [1, 2], la compañía dijo que a pesar de detectar y bloquear a los piratas informáticos para que no encripten sus archivos, los intrusos lograron robar una copia de sus copias de seguridad. Esta copia de seguridad contenía datos de ArbiterGame, ArbiterOne y ArbiterWorks, tres de las aplicaciones web utilizadas por las escuelas y las ligas deportivas para asignar y administrar los horarios y program...

Sin que muchos lo supieran, el mes pasado Microsoft corrigió uno de los errores más graves jamás reportados a la compañía, un problema del que se podría abusar para controlar fácilmente los servidores Windows que se ejecutan como controladores de dominio en redes empresariales. El error se corrigió en el martes de parches de agosto de 2020 con el identificador CVE-2020-1472. Se describió como una elevación de privilegios en Netlogon, el protocolo que autentica a los usuarios frente a los controladores de dominio. La vulnerabilidad recibió la clasificación de gravedad máxima de 10, pero los detalles nunca se hicieron públicos, lo que significa que los usuarios y administradores de TI nunca supieron cuán peligroso era realmente el problema. Pero en una publicación de blog de hoy, el equipo de Secura B.V. , una firma de seguridad holandesa, finalmente levantó el velo de este misterioso error y publicó un informe técnico que describe CVE-2020-1472 con mayor profundidad. Y según el inf...

La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) ha publicado hoy un aviso de seguridad advirtiendo sobre una ola de ataques llevados a cabo por grupos de piratería afiliados al Ministerio de Seguridad del Estado de China (MSS). CISA dice que durante el año pasado, los piratas informáticos chinos han escaneado las redes del gobierno de EE. UU. En busca de la presencia de dispositivos de red populares y luego han utilizado exploits para vulnerabilidades recientemente reveladas para afianzarse en redes sensibles. La lista de dispositivos específicos incluye equilibradores de carga F5 Big-IP, dispositivos Citrix y Pulse Secure VPN y servidores de correo electrónico de Microsoft Exchange. Para cada uno de estos dispositivos, se han revelado públicamente vulnerabilidades importantes durante los últimos 12 meses, como CVE-2020-5902, CVE-2019-19781, CVE-2019-11510 y CVE-2020-0688, respectivamente. Según una tabla que resume la actividad china dirigida a estos dispositiv...

El FBI envió una alerta de seguridad privada al sector financiero de EE. UU. La semana pasada advirtiendo a las organizaciones sobre el creciente número de ataques de relleno de credenciales que se han dirigido a sus redes y han provocado violaciones y pérdidas financieras considerables. El relleno de credenciales es un término relativamente nuevo en la industria de la seguridad cibernética. Se refiere a un tipo de ataque automatizado en el que los piratas informáticos toman colecciones de nombres de usuario y contraseñas que se filtraron en línea a través de violaciones de datos en otras empresas y las prueban contra cuentas en otros servicios en línea. Estos ataques tienen como objetivo identificar cuentas en las que los usuarios reutilizaron contraseñas y luego obtener acceso no autorizado al perfil del usuario y los recursos adjuntos. Los ataques de relleno de credenciales no siempre fueron un problema, pero se convirtieron en uno a fines de la década de 2010 después de que lo...

Más de 2.000 tiendas en línea de Magento han sido pirateadas durante el fin de semana en lo que los investigadores de seguridad han descrito como la "campaña más grande de la historia". Los ataques fueron un esquema típico de Magecart donde los piratas informáticos violaron sitios y luego colocaron scripts maliciosos dentro del código fuente de las tiendas, código que registraba los detalles de la tarjeta de pago que los compradores ingresaban dentro de los formularios de pago. "El viernes, 10 tiendas se infectaron, luego 1.058 el sábado, 603 el domingo y 233 hoy", dijo Willem de Groot, fundador de Sanguine Security (SanSec), una firma holandesa de ciberseguridad especializada en rastrear ataques Magecart. "Esta campaña automatizada es, con mucho, la más grande que Sansec ha identificado desde que comenzó a monitorear en 2015", agregó de Groot. "El récord anterior fue de 962 tiendas pirateadas en un solo día en julio del año pasado". El ejec...

Imagen: Sydney Rae El Departamento de Asuntos de Veteranos (VA) ha revelado hoy una brecha de seguridad durante la cual la información personal de alrededor de 46,000 veteranos fue obtenida por un tercero malicioso. Los funcionarios dijeron que la violación se produjo después de que "usuarios no autorizados" accedieron a una aplicación en línea administrada por el Centro de Servicios Financieros de VA (FSC). El VA dijo que los piratas informáticos utilizaron "técnicas de ingeniería social" y explotaron el "protocolo de autenticación" para obtener acceso a la aplicación FSC y luego desviar los pagos del VA destinados a los proveedores de atención médica para el tratamiento médico de los veteranos estadounidenses. Si bien los funcionarios aún están investigando el incidente, VA cree que los piratas informáticos también pudieron haber accedido a registros de veteranos, incluidos los números de Seguro Social. "Para proteger a estos veteranos, el FSC...

La violación de datos en Mitsubishi puede haber expuesto el diseño del prototipo de misil Ver ahora Una base de datos perteneciente al foro de webmasters de Digital Point filtró los registros de más de 800.000 usuarios. Digital Point, con sede en San Diego, California, se describe a sí misma como la "comunidad de webmasters más grande del mundo", que reúne a autónomos, especialistas en marketing, codificadores y otros profesionales creativos. El 1 de julio, el equipo de investigación de WebsitePlanet y el investigador de ciberseguridad Jeremiah Fowler descubrieron una base de datos de Elasticsearch no segura que contenía más de 62 millones de registros. En total, se incluyeron en la filtración datos pertenecientes a 863,412 usuarios de Digital Point. Ver también: Intel investiga una violación después de que 20 GB de documentos internos se filtraran en línea Según el equipo, los nombres, las direcciones de correo electrónico y los números de identificación de usuario in...

Imagen: SWIFT A pesar de ser considerado un refugio de ciberdelincuencia, las criptomonedas juegan un papel muy pequeño en el lavado de fondos obtenidos de ataques bancarios; dijo la organización financiera SWIFT en un informe la semana pasada. "Los casos identificados de lavado a través de criptomonedas siguen siendo relativamente pequeños en comparación con los volúmenes de efectivo lavado a través de métodos tradicionales", dijo SWIFT, la organización que administra el sistema de mensajería interbancaria SWIFT utilizado por casi todos los bancos del mundo para transferir fondos a través de las fronteras. Estos métodos tradicionales incluyen el uso de mulas de dinero, empresas fachada, negocios en efectivo e inversiones en otras formas de delincuencia, como el tráfico de drogas o la trata de personas. SWIFT dijo que los incidentes en los que los piratas informáticos lavaron dinero a través de criptomonedas han sido raros y distantes entre sí. Un ejemplo enumerado en el...

BancoEstado, uno de los tres bancos más grandes de Chile, se vio obligado a cerrar todas las sucursales el lunes luego de un ataque de ransomware que tuvo lugar durante el fin de semana. "Nuestras sucursales no estarán operativas y permanecerán cerradas hoy", dijo el banco en un comunicado publicado en su cuenta de Twitter el lunes. Los detalles sobre el ataque no se han hecho públicos, pero una fuente cercana a la investigación le dijo a ZDNet que la red interna del banco estaba infectada con el ransomware REvil (Sodinokibi). Actualmente, se está investigando el incidente por haberse originado en un documento de Office malicioso recibido y abierto por un empleado. Se cree que el archivo malicioso de Office instaló una puerta trasera en la red del banco. Los investigadores creen que en la noche entre el viernes y el sábado, los piratas informáticos utilizaron esta puerta trasera para acceder a la red del banco e instalar ransomware. Los empleados del banco que trabajab...

Las agencias de ciberseguridad de Francia, Japón y Nueva Zelanda han publicado alertas de seguridad durante la semana pasada advirtiendo sobre un gran aumento en los ataques de malware Emotet dirigidos a sus respectivos países. La actividad de Emotet descrita en las alertas se refiere a campañas de correo no deseado que se originaron en la infraestructura de Emotet y empresas y agencias gubernamentales específicas en los tres países. Las organizaciones víctimas que recibieron los correos electrónicos, abrieron y luego ejecutaron los documentos adjuntos corrían el riesgo de infectarse con uno de los programas maliciosos más peligrosos de la actualidad. Joseph Roosen, miembro de Cryptolaemus, un grupo de investigadores de seguridad que rastrean las campañas de malware Emotet, le dijo a ZDNet que la botnet Emotet ha estado particularmente activa en las últimas semanas y especialmente activa en los tres países. Por ejemplo, Roosen dijo que Nueva Zelanda había sido un gran objetivo de ...

Un equipo de académicos de la Universidad de Columbia ha desarrollado una herramienta personalizada para analizar dinámicamente las aplicaciones de Android y ver si están usando código criptográfico de manera insegura. Nombrada CRYLOGGER, la herramienta se utilizó para probar 1.780 aplicaciones de Android, que representan las aplicaciones más populares en 33 categorías diferentes de Play Store, en septiembre y octubre de 2019. Los investigadores dicen que la herramienta, que verificó 26 reglas básicas de criptografía (ver tabla a continuación), encontró errores en 306 aplicaciones de Android. Algunas aplicaciones rompieron una regla, mientras que otras rompieron varias. Las tres reglas más infringidas fueron: Estas son reglas básicas que cualquier criptógrafo conoce muy bien, pero reglas que algunos desarrolladores de aplicaciones podrían no conocer sin haber estudiado seguridad de aplicaciones (AppSec) o criptografía avanzada antes de ingresar al espacio de desarrollo de aplicaci...

Imagen: White Ops, ZDNet Google ha eliminado 56 aplicaciones de Android de la tienda oficial de Google Play que, según la compañía, formaban parte de una botnet de fraude publicitario. Denominada Terracotta, esta botnet fue descubierta por White Ops, una empresa de seguridad especializada en identificar el comportamiento de los bots. Los investigadores de White Ops dijeron que han estado rastreando Terracotta desde finales de 2019 cuando la botnet parece haberse activado. Según los investigadores, Terracotta operó cargando aplicaciones en Google Play Store que prometían a los usuarios beneficios gratuitos si instalaban las aplicaciones en sus dispositivos. Las aplicaciones generalmente ofrecían zapatos, zapatillas, botas y, a veces, boletos, cupones y costosos tratamientos dentales. Se les pidió a los usuarios que instalaran la aplicación y luego esperaran dos semanas para recibir los productos gratuitos, tiempo durante el cual debían dejar la aplicación instalada en su teléfono ...

Imagen: Cisco // Composición: ZDNet Cisco advirtió el sábado sobre una nueva vulnerabilidad de día cero que afecta al Sistema Operativo Internetwork (IOS) que se envía con su equipo de red. La vulnerabilidad, rastreada como CVE-2020-3566, afecta la función del Protocolo de enrutamiento de multidifusión de vector de distancia (DVMRP) que se envía con la versión IOS XR del sistema operativo. Esta versión del sistema operativo generalmente se instala en enrutadores de centro de datos y de nivel de operador, según el sitio web de la compañía. Cisco dice que la función DVMRP contiene un error que permite a un atacante remoto no autenticado agotar la memoria del proceso y bloquear otros procesos que se ejecutan en el dispositivo. Cisco explica: "La vulnerabilidad se debe a una administración de cola insuficiente para los paquetes del Protocolo de administración de grupos de Internet (IGMP). Un atacante podría aprovechar esta vulnerabilidad enviando tráfico IGMP diseñado a un dispos...

Imagen: ZDNet Un estudio publicado recientemente realizado por tres empleados de Mozilla ha analizado la privacidad proporcionada por los historiales de navegación. Sus hallazgos muestran que la mayoría de los usuarios tienen hábitos de navegación web únicos que permiten a los anunciantes en línea crear perfiles precisos. Estos perfiles se pueden usar para rastrear y volver a identificar a los usuarios en diferentes conjuntos de datos de usuarios que contienen incluso pequeñas muestras del historial de navegación de un usuario. Efectivamente, el estudio viene a disipar el mito en línea de que el historial de navegación, incluso el anónimo, no es útil para los anunciantes en línea. En realidad, el estudio muestra que incluso una pequeña lista de 50 a 150 de los dominios favoritos y más visitados del usuario puede permitir a los anunciantes crear un perfil de seguimiento único. El artículo de investigación de Mozilla se llama "Replicación: por qué todavía no podemos navegar en...

Compromiso del correo electrónico empresarial: por qué esta campaña de phishing recientemente descubierta cambia las reglas del juego Ver ahora Los grupos de estafadores de BEC se están volviendo más descarados. La suma promedio que un grupo BEC intentará robarle a una empresa objetivo es ahora de alrededor de 80.000 dólares por ataque, según un informe de la industria publicado el lunes. La cifra es superior a los 54.000 dólares, la suma media que los grupos BEC intentaron obtener de las víctimas en el primer trimestre de 2020, según informó el Anti-Phishing Working Group (APWG), una coalición de la industria formada por más de 2.200 organizaciones de la ciberseguridad. sector de la industria, el gobierno, las fuerzas del orden y las ONG. Uno de los grupos industriales más grandes de su tipo, el APWG ha estado publicando informes trimestrales sobre el estado de las operaciones de phishing desde 2004. La mayoría de estos informes se han centrado generalmente en ataques de phishin...

Uno de los grupos de piratería informática patrocinados por el estado de Irán ha sido visto vendiendo acceso a redes corporativas comprometidas en un foro clandestino de piratería informática, dijo la firma de seguridad cibernética Crowdstrike en un informe hoy. La compañía identificó al grupo con el nombre en clave Pioneer Kitten, que es una designación alternativa para el grupo, también conocido como Fox Kitten o Parisite. El grupo, que Crowdstrike cree que es un contratista del régimen iraní, ha pasado 2019 y 2020 pirateando redes corporativas a través de vulnerabilidades en VPN y equipos de red, como: El grupo ha estado violando dispositivos de red utilizando las vulnerabilidades anteriores, colocando puertas traseras y luego brindando acceso a otros grupos de piratería iraníes, como APT33 (Shamoon), Oilrig (APT34) o Chafer, según un informe de la firma de ciberseguridad Dragos. . Estos otros grupos entrarían luego, expandirían el "acceso inicial" que Pioneer Kitten ...