Protección de seguridad

Lenovo ha corregido un trío de errores de los que se podría abusar para realizar ataques UEFI. Descubiertas por el investigador de ESET Martin Smolár, las vulnerabilidades, asignadas como CVE-2021-3970, CVE-2021-3971 y CVE-2021-3972, podrían explotarse para "implementar y ejecutar con éxito el malware UEFI, ya sea en forma de implantes flash SPI como LoJax o implantes ESP como ESPecter" en el BIOS del portátil Lenovo. En los ataques cibernéticos UEFI, las operaciones maliciosas se cargan en un dispositivo comprometido en una etapa temprana del proceso de arranque. Esto significa que el malware puede alterar los datos de configuración, establecer persistencia y puede eludir las medidas de seguridad que solo se cargan en la etapa del sistema operativo. El martes, ESET dijo que las vulnerabilidades afectan a "más de cien modelos diferentes de computadoras portátiles de consumo con millones de usuarios en todo el mundo" y fueron causadas por controladores que solo s...

La Comisión Federal de Comercio de EE. UU. (FTC, por sus siglas en inglés) ha multado a Warrior Trading con 3 millones de dólares por operar programas de comercio diario considerados "engañosos" para los consumidores. El 19 de abril, el regulador de EE. UU. dijo que Warrior Trading, con sede en Great Barrington, Massachusetts, hizo "afirmaciones engañosas y poco realistas" a clientes potenciales interesados ​​en el comercio diario. El day trading es una táctica del mercado de valores involucrada en la compra y venta de valores, con posiciones cerradas antes del cierre del mercado. Si bien esta actividad especulativa puede ser rentable, también puede ser más riesgosa que las inversiones a largo plazo, especialmente si no realiza la investigación adecuada de antemano. Según la FTC (. PDF), Warrior Trading y su director ejecutivo, Ross Cameron, supuestamente "convencen[d] a los consumidores a pagar cientos o miles de dólares por un sistema comercial que finalm...

El grupo de amenazas Hive se dirige a los servidores Microsoft Exchange vulnerables para implementar ransomware. Descubierto por primera vez en junio de 2021, Hive es un modelo de Ransomware-as-a-Service (RaaS) en el que los atacantes cibernéticos pueden utilizar la variedad de ransomware Hive en los ataques. Los actores de la amenaza operan un sitio de fugas, al que se accede a través de una dirección . onion, cuyo objetivo es 'nombrar y avergonzar' a las víctimas del ransomware. Además, los operadores de malware practican la doble extorsión, en la que se roban datos corporativos confidenciales de una organización víctima antes del cifrado del disco. Si una víctima se niega a pagar por una clave de descifrado, los atacantes cibernéticos pegarán su nombre en el sitio de la fuga y configurarán un temporizador antes de que se filtren los datos. Esto aumenta la presión y brinda a los atacantes más oportunidades de extorsión. Las víctimas pasadas de Hive incluyen entidades sin...

El proyecto de finanzas descentralizadas (DeFi) Beanstalk ha perdido $ 182 millones en un ataque de préstamo rápido. Puede parecer más un atraco corporativo que un ciberataque típico. Aún así, este incidente de seguridad fue posible después de que el actor de amenazas desconocido aseguró los derechos de voto del proyecto necesarios para transferir los fondos de reserva fuera de los fondos de liquidez del proyecto. El 19 de abril, Beanstalk, un proyecto de protocolo de moneda estable basado en crédito basado en Ethereum, dijo que la plataforma había sido objeto de un ataque de préstamo rápido dos días antes. El ciberataque aprovechó el mecanismo de gobernanza del protocolo del proyecto. Según una autopsia realizada por Omniscia, el exploit se produjo debido a la reciente implementación de Curve LP Silos, "lo que finalmente permitió al atacante realizar una ejecución de emergencia de una propuesta maliciosa que desviaba los fondos del proyecto". Las funciones de préstamo f...

Los operadores de la botnet LemonDuck están apuntando a las instancias de Docker en una campaña de minería de criptomonedas. LemonDuck es un malware de minería de criptomonedas envuelto en una estructura de botnet. El malware aprovecha las vulnerabilidades más antiguas para infiltrarse en los sistemas y servidores de la nube, incluidos los errores de Microsoft Exchange ProxyLogon, EternalBlue y BlueKeep. Como señaló el equipo de seguridad de Microsoft en 2021, se sabe que los actores de amenazas detrás del malware son selectivos en lo que respecta al momento y pueden desencadenar un ataque cuando los equipos se centran en "parchar una vulnerabilidad popular en lugar de investigar el compromiso". LemonDuck ha ampliado sus operaciones desde máquinas Windows también para incluir Linux y Docker. En una campaña activa y en curso, Crowdstrike dice que las API de Docker están dirigidas a obtener acceso inicial a las instancias de la nube. Docker se utiliza para ejecutar conten...

Los piratas informáticos fingen robar personal bancario en una ola de ataques contra el sector financiero africano. En las últimas semanas, se ha visto a los actores de amenazas utilizando correos electrónicos y mensajes de reclutamiento para atraer a las personas que están considerando mudarse de su empleo actual a compañías financieras rivales. Sin embargo, los correos electrónicos no contienen ofertas de trabajo genuinas: en su lugar, contienen sorpresas maliciosas. El martes, el equipo de investigación de amenazas de HP Wolf Security dijo que la campaña se dirige específicamente a personas que ya trabajan en el sector bancario africano. Los correos electrónicos de phishing se disfrazan con los nombres de los bancos rivales a través de errores tipográficos y preguntan a la víctima potencial si está interesada en nuevas oportunidades laborales. El 'reclutador' también usa una dirección de respuesta con errores tipográficos para parecer más legítimo. Si un individuo se t...

Barracuda Networks ha sido adquirida por KKR, un equipo de inversión que se hace cargo de la empresa del antiguo propietario Thoma Bravo. Barracuda, fundada en 2003, es el desarrollador de soluciones de seguridad cibernética, que incluyen protección de correo electrónico, defensas en aplicaciones y en la nube, gestión de datos y seguridad de red. Los productos incluyen ofertas de Secure Access Service Edge (SASE), detección y respuesta a amenazas e inspección de datos. La empresa atiende a aproximadamente 200.000 clientes en todo el mundo y se centra en las pequeñas y medianas empresas. Parece que la firma de seguridad cibernética captó recientemente el interés de KKR, una compañía de inversión que se comercializa a sí misma como una "gestión alternativa de activos". Los fondos administrados por KKR incluyen fondos de cobertura, capital privado, crédito y activos del mundo real. La adquisición se anunció el 12 de abril. La firma de capital privado Thoma Bravo compró Ba...

Una nueva red de bots apunta a enrutadores, dispositivos de Internet de las cosas (IoT) y una variedad de arquitecturas de servidor. El 12 de abril, los investigadores de ciberseguridad de FortiGuard Labs dijeron que la nueva botnet de denegación de servicio distribuida (DDoS), denominada Enemybot, toma prestados módulos del código fuente de la infame botnet Mirai, junto con el de Gafgyt. La red de bots Mirai fue responsable de un ataque DDoS masivo contra Dyn en 2016. El código fuente de Mirai se filtró en línea ese mismo año, e incluso ahora, las redes de bots que utilizan partes de la red maliciosa siguen siendo las armas elegidas por los actores de amenazas. El código Gafgyt/Bashlite también es público y, según FortiGuard, el nuevo Enemybot emplea elementos de ambas botnets en sus ataques, uniéndose a Okiru, Satori y Masuta. Se cree que Keksec es el operador de la botnet. Keksec, también conocido como Necro o Freakout, es un grupo de amenazas prolífico relacionado con ataques...

El proveedor Aethon ha reparado cinco vulnerabilidades críticas en los robots de hospitales que se utilizan para entregar suministros médicos. El mundo de los problemas de ciberseguridad relacionados con la salud aún está relativamente intacto. En los últimos años, hemos visto el impacto de los brotes de ransomware en los hospitales; vulnerabilidades de software, incluidas aquellas que, en teoría, podrían impedir el funcionamiento de un marcapasos e innumerables filtraciones de datos de pacientes en proveedores de todo el mundo. Sin embargo, a menos que haya un beneficio financiero claro, muchos atacantes cibernéticos ignorarán los dispositivos médicos y atacarán a las empresas que probablemente les proporcionen ingresos ilícitos. Esto no significa que los proveedores o defensores deban ignorar las vulnerabilidades y los problemas de seguridad relacionados con la medicina, especialmente a medida que continúan desarrollándose la salud digital, la medicina personalizada y la atención...

Se ha agregado un nuevo tipo de ladrón de información a la cartera de malware de Haskers Gang. El jueves, los investigadores de Cisco Talos dijeron que el malware, denominado ZingoStealer, se ofrece de forma gratuita a los miembros del grupo Haskers Gang Telegram. Activo desde al menos 2020, el grupo Haskers Gang no es el típico colectivo pequeño de ciberdelincuentes. En cambio, la "comunidad" se compone de unos pocos fundadores, probablemente con sede en Europa del Este, y miles de miembros ocasionales. Haskers Gang se comunica a través de Telegram y Discord para compartir actualizaciones, herramientas y sus últimas actividades de la "comunidad". El grupo de Telegram tiene poco menos de cuatro mil suscriptores que comparten consejos sobre grietas, encriptadores, evasión de medidas de seguridad y software de piratería. Telegram también se utiliza para administrar los ejecutables maliciosos y los paquetes de datos exfiltrados. Según los investigadores, los atac...

Funcionarios israelíes de alto rango están siendo atrapados en una nueva campaña de ciberespionaje lanzada por APT-C-23. AridViper, también conocido como APT-C-23, Desert Falcon y Two-tailed Scorpion, es un grupo de amenazas persistentes avanzadas (APT, por sus siglas en inglés) impulsado políticamente y activo en Oriente Medio. En el pasado, AridViper ha llevado a cabo ataques de phishing dirigido contra establecimientos policiales, militares y educativos palestinos, así como contra la Agencia de Seguridad de Israel (ISA). En febrero, los investigadores de Cisco Talos descubrieron ataques de AridViper contra activistas asociados con el Conflicto Israel-Palestina. El jueves, el equipo de investigación Nocturnus de Cybereason publicó nuevos hallazgos sobre las últimas actividades de la APT. Apodada "Operación Barbie barbuda", la última campaña se dirige a individuos israelíes "elegidos cuidadosamente" para comprometer sus PC y dispositivos móviles, espiar sus ac...

Zoom ha otorgado $ 1.8 millones a los investigadores que enviaron informes de recompensas por errores durante 2021. Los programas de recompensas por errores, ya sean privados y disponibles solo para invitados o públicos, donde cualquiera puede enviar un informe de vulnerabilidad, se han convertido en un método fundamental para que las organizaciones mejoren su postura de seguridad. La industria está plagada de escasez de talento. Las estimaciones sugieren que habrá aproximadamente 3,5 millones de vacantes vacantes para 2025 solo en los EE. UU., y hasta que haya más especialistas disponibles, las empresas a menudo no pueden confiar simplemente en los equipos de seguridad internos, que tienen una carga de trabajo más que suficiente. Aquí es donde entran en juego las recompensas por errores: los investigadores externos y los cazadores de errores pueden realizar pruebas en el software y los servicios, informar cualquier problema grave de seguridad y recibir créditos y/o recompensas fi...

VMware insta a los clientes a actualizar su software para resolver vulnerabilidades críticas, incluido un error de ejecución remota de código (RCE) en Workspace ONE Access. El miércoles, el gigante tecnológico publicó un aviso de seguridad que advierte sobre vulnerabilidades en su software empresarial. Los productos afectados son VMware Workspace ONE Access, VMware Identity Manager (vIDM), VMware vRealize Automation (vRA), VMware Cloud Foundation y vRealize Suite Lifecycle Manager. La primera vulnerabilidad es CVE-2022-22954, que afecta a VMware Workspace ONE Access e Identity Manager. CVE-2022-22954 se describe como un RCE de inyección de plantilla del lado del servidor y se le ha emitido una puntuación de gravedad CVSS de 9.8. Los atacantes podrían aprovechar la vulnerabilidad siempre que tengan acceso a la red. VMware también ha desarrollado parches para resolver CVE-2022-22955 y CVE-2022-22956; ambos emitieron una puntuación CVSS de 9,8, lo que afectó a VMware Workspace ONE Ac...

Un ciudadano ucraniano ha sido condenado como miembro del grupo de hackers FIN7. El jueves, el Departamento de Justicia de EE. UU. (DoJ) anunció la sentencia de Denys Iarmak a cinco años de prisión por trabajar como probador de penetración FIN7. FIN7, también conocido como Carbanak, es un prolífico grupo de ciberdelincuentes que se centra en el robo financiero. Activo desde al menos 2015, FIN7 ha tendido a apuntar al sector minorista y bancario a través de estafas de Business Email Compromise (BEC), ataques contra puntos sistemas de venta (PoS) y compromiso de la cadena de suministro. El grupo está constantemente evolucionando sus tácticas y mejorando su conjunto de herramientas. El malware utilizado por el grupo incluye puertas traseras, ladrones de información, troyanos, módulos de acceso RDP e incluso unidades USB maliciosas que se envían físicamente por correo a empresas desprevenidas. Los investigadores de Blueliv dicen que FIN7 es una de las principales amenazas para el sec...

Se ha reparado una vulnerabilidad de secuencias de comandos entre sitios (XSS) en el popular motor Directus. Directus es un sistema de administración de contenido modular (CMS) de código abierto que se promociona como una "potencia flexible para ingenieros". La plataforma se puede utilizar para encapsular bases de datos SQL con API REST y GraphQL. Directus ha logrado 14.9k estrellas en GitHub y hay aproximadamente 1700 bifurcaciones. Descubierta por el investigador David Johansson del Centro de Investigación de Seguridad Cibernética de Synopsys (CyRC), la vulnerabilidad se rastrea como CVE-2022-24814 y puede comprometer la cuenta. Afectando a Directus v9.6.0 y versiones anteriores, se encontró CVE-2022-24814 en la funcionalidad de carga de archivos del CMS. "Se puede ejecutar JavaScript no autorizado insertando un iframe en la interfaz HTML de texto enriquecido que se vincula a un archivo HTML cargado que carga otro archivo JS cargado en su etiqueta de secuencia ...

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha emitido una alerta sobre vulnerabilidades graves que afectan a los controladores de Rockwell Automation. Rockwell Automation ofrece soluciones industriales digitales y de automatización, incluidas soluciones de gemelos digitales, productos de ingeniería y hardware de optimización de plantas de producción. El 31 de marzo, CISA señaló a los clientes dos avisos recientes, "ICSA-22-090-05: Controladores Logix de Rockwell Automation" e "ICSA-22-090-07: Diseñador Logix Studio 5000 de Rockwell Automation", que detallan vulnerabilidades graves en el controlador. productos. El primer aviso describe CVE-2022-1161, una vulnerabilidad a la que se le asignó una puntuación de gravedad CVSS de 10,0, la más alta posible. El error afecta a una variedad de controladores CompactLogix, Compact GuardLogix, ControlLogix, FlexLogix, DriveLogix y SoftLogix. Según el aviso, la vulnerabilidad se puede acti...

Zyxel insta a los clientes a corregir de inmediato una vulnerabilidad crítica en el software de firewall del proveedor. En un aviso de seguridad publicado esta semana, el gigante de redes taiwanés dijo que la falla de seguridad puede conducir a la elusión de la protección de firewall en las líneas de productos Zyxel USG, ZyWALL, FLEX, ATP, VPN y NSG. Rastreada como CVE-2022-0342 y emitida con una puntuación de gravedad crítica de 9. 8, la vulnerabilidad se describe como una "omisión de autenticación" provocada por una falla del mecanismo de control de acceso adecuado. El error está presente en una serie de programas CGI integrados en el software de firewall. "La falla podría permitir que un atacante eluda la autenticación y obtenga acceso administrativo al dispositivo", dice Zyxel. El siguiente firmware se ve afectado: USG/ZyWALL: versiones 4.20 a 4.70 USG FLEX: versiones 4. 50 a 5.20 ATP: versiones 4.32 a 5. 20 VPN: versiones 4.30 a 5.20 NSG: versiones 1...

Deep Panda ha lanzado nuevos ataques este mes que aprovechan Log4Shell para implementar el nuevo rootkit Fire Chili. Deep Panda es un grupo chino de piratería de amenazas persistentes avanzadas (APT) que ha estado activo durante al menos una década. La APT apunta a organizaciones gubernamentales, de defensa, de salud, de telecomunicaciones y financieras, por nombrar algunas, con fines que incluyen el robo de datos y la vigilancia. Los atacantes cibernéticos tienen una amplia gama de herramientas maliciosas, incluida la puerta trasera Milestone y el troyano de acceso remoto (RAT) Infoadmin basado en el código Gh0st RAT. También puede haber afiliación a Winnti, un grupo chino separado conocido por apuntar a desarrolladores y vendedores de juegos. Una nueva campaña detectada por los investigadores de FortiGuard Labs es obra de Deep Panda, que está dirigida a organizaciones de las industrias de finanzas, viajes y cosmética. Durante el mes pasado, FortiGuard detectó la explotación act...

Turquía está buscando sentencias colosales de más de 40,000 años para sospechosos supuestamente conectados a un intercambio de criptomonedas fraudulento. Un fiscal busca sentencias de hasta 40,564 años cada una para 21 personas acusadas de operar Thodex, un intercambio de criptomonedas ahora desaparecido. Según lo informado por Demiroren a través de Bloomberg, los presuntos fundadores y ejecutivos de Thodex están en el campo de visión del fiscal. La acusación, emitida el jueves, nombra a Faruk Fatih Ozer, el director ejecutivo de 28 años del intercambio de criptomonedas que desapareció hace un año. Se publicó un aviso en el sitio web de Thodex en abril de 2021, informando a los usuarios que el puesto comercial estaría cerrado durante varios días para hacer frente a un proceso de "venta". El intercambio de criptomonedas nunca volvió a abrir y los inversores no podían acceder a sus cuentas ni retirar fondos. Thodex afirmó en las redes sociales que nadie había sido estafa...

Cyble Un nuevo troyano de acceso remoto (RAT) puede tener un nombre divertido para algunos, pero sus capacidades muestran que el malware no es cosa de risa. Apodado Borat RAT, Cyble Research Labs dijo en un análisis de malware reciente que la nueva amenaza no se conforma con las capacidades estándar de acceso remoto; en cambio, Borat RAT también incluye funciones de spyware y ransomware. Según los investigadores de ciberseguridad, el troyano, que lleva el nombre del personaje adoptado por el comediante Sacha Baron Cohen, se ofrece a la venta a los ciberdelincuentes en foros clandestinos. Borat RAT tiene un tablero centralizado y está empaquetado con un constructor, módulos de funciones y un certificado de servidor. Las capacidades del malware son amplias e incluyen un registrador de teclas, un componente de cifrado y descifrado de ransomware, así como la opción para que los usuarios generen sus propias notas de rescate, y una característica opcional de denegación de servicio distr...