Martes, 19 de abril de 2022 // (IG): BB //Patrocinador semanal: Philly Tech Club
Los tokens de OAuth robados conducen a 'docenas' de repositorios de GitHub violados
DE LOS MEDIOS: El proveedor de PaaS propiedad de Salesforce, Heroku, y GitHub advirtieron que los tokens de usuario OAuth comprometidos probablemente se usaron para descargar datos privados de organizaciones que usan Heroku y el servicio de prueba e integración continua Travis CI, según declaraciones emitidas a fines de la semana pasada.
Es poco probable que GitHub se haya visto comprometido, según la publicación de blog del repositorio de código fuente ubicuo , ya que los tokens de OAuth en cuestión no están almacenados por GitHub en formatos utilizables, y es más probable que hayan sido tomados de las aplicaciones de Heroku y Travis CI que usan el Marco OAuth para la autenticación.
GitHub dijo el viernes que cinco aplicaciones OAuth específicas se vieron afectadas: cuatro versiones de Heroku Dashboard y Travis CI (ID 145909, 628778, 313468, 363831 y 9261).
LEA LA HISTORIA: OSC
El software espía Pegasus descubrió las redes del gobierno del Reino Unido
DE LOS MEDIOS: Las computadoras utilizadas por el personal de la oficina del Primer Ministro del Reino Unido fueron infectadas con software espía de NSO Group, según Citizen Lab.
El laboratorio de investigación académica de la Universidad de Toronto emitió un comunicado el lunes confirmando un informe del New Yorker sobre el descubrimiento del software espía Pegasus en un dispositivo que estaba conectado a la oficina del primer ministro del Reino Unido, Boris Johnson. Según Citizen Lab, un actor de amenazas con sede en los Emiratos Árabes Unidos (EAU) estuvo detrás de un ataque que comenzó con infecciones dirigidas a los sistemas utilizados por la Oficina de Relaciones Exteriores de la Commonwealth (FCO) británica y terminó con sistemas comprometidos dentro de la red en el Prime Oficina del Ministro en el número 10 de Downing Street en Londres.
El director de Citizen Lab, Ronald Deibert, dijo que en 2020 y 2021 sus investigadores se enteraron de la actividad sospechosa de Pegasus en las redes operadas por el gobierno del Reino Unido. Después de algunas investigaciones, los investigadores de Citizen Lab descubrieron múltiples infecciones de actores de amenazas en una variedad de países.
“Las sospechas de infecciones relacionadas con el FCO estaban asociadas con los operadores de Pegasus que vinculamos con los Emiratos Árabes Unidos, India, Chipre y Jordania”, dijo Deibert en el comunicado . "La sospecha de infección en la Oficina del Primer Ministro del Reino Unido se asoció con un operador de Pegasus que vinculamos con los Emiratos Árabes Unidos".
LEA LA HISTORIA: TechTarget
El FBI, el Tesoro de EE. UU. y CISA advierten sobre piratas informáticos de Corea del Norte que apuntan a empresas de cadena de bloques
DE LOS MEDIOS: La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), junto con la Oficina Federal de Investigaciones (FBI) y el Departamento del Tesoro, advirtieron sobre un nuevo conjunto de ataques cibernéticos en curso llevados a cabo por el Grupo Lazarus contra empresas de cadenas de bloques.
Llamando al grupo de actividad TraderTraitor , las infiltraciones involucran al actor de amenazas persistentes avanzadas (APT) patrocinado por el estado de Corea del Norte que golpea a las entidades que operan en la industria Web3.0 desde al menos 2020.
Las organizaciones objetivo incluyen intercambios de criptomonedas, protocolos de finanzas descentralizadas (DeFi), videojuegos de criptomonedas de jugar para ganar, empresas de comercio de criptomonedas, fondos de capital de riesgo que invierten en criptomonedas y titulares individuales de grandes cantidades de criptomonedas o valiosos tokens no fungibles (NFT). .
LEA LA HISTORIA: The Hacker News
Lecciones de seguridad de un ataque de fraude de pago
DE LOS MEDIOS: El 10 de abril de 2020, la empresa fintech con sede en Atlanta Brightwell estaba navegando más allá de la mortal pandemia de COVID-19.
Todo comenzó con una serie de llamadas telefónicas de los clientes. Esa mañana, en algún momento entre las 7 am y las 8 am, Brightwell recibió noticias del equipo de servicio al cliente de que los clientes llamaban para quejarse de la falta de fondos, dice Ernie Moran, en ese momento vicepresidente senior de riesgos de Brightwell. En circunstancias normales, si los usuarios notaron una discrepancia al iniciar sesión en su aplicación, la empresa generalmente investigaría el problema para determinar si el cliente gastó de más por error o si se produjo un fraude. Desafortunadamente para Brightwell, fue lo último.
"Yo diría que las siguientes 24 horas fueron las 24 horas más locas que creo que hemos tenido en Brightwell", dice Moran. "A partir de ese momento, comenzamos a escuchar a más y más clientes. Y comienzas el proceso de investigación, y comienzas a ingresar a la plataforma, la plataforma del procesador y observas los datos".
LEE LA HISTORIA: DarkReading
Centro vinculado a la OTAN realizará simulacros cibernéticos de 'fuego real' mientras la guerra continúa
DE LOS MEDIOS: Una organización cibernética acreditada por la Organización del Tratado del Atlántico Norte llevará a cabo lo que anuncia como los ejercicios de ciberdefensa de "fuego real" más grandes y complejos del mundo a partir del martes.
El Centro de Excelencia de Ciberdefensa Cooperativa de la OTAN, con sede en Estonia, dijo que el evento anual, llamado Locked Shields, tiene como objetivo aumentar las habilidades de los expertos en ciberseguridad que defienden los sistemas de TI nacionales y la infraestructura crítica bajo ataques en tiempo real.
Los participantes se despliegan para ayudar a un país ficticio a manejar un ciberataque a gran escala. Se espera que participen más de 2000 personas de 32 países, incluida Ucrania.
El evento Locked Shields de este año se produce en medio de la guerra en curso en Ucrania, en la que la piratería ha tenido un papel constante, aunque relativamente silencioso, en la invasión de Rusia. Los piratas informáticos patrocinados por el estado ruso han sido acusados de atacar agencias gubernamentales ucranianas e intentar violar la red eléctrica. Las empresas ucranianas también han sido objeto de ataques cibernéticos regulares, según funcionarios del gobierno.
LEA LA HISTORIA: Bloomberg
Descifrador gratuito lanzado para las víctimas del ransomware Yanluowang
DE LOS MEDIOS: Kaspersky reveló hoy que encontró una vulnerabilidad en el algoritmo de encriptación del ransomware Yanluowang, que hace posible recuperar los archivos que encripta.
La firma rusa de ciberseguridad ha agregado soporte para descifrar archivos bloqueados por la variedad de ransomware Yanluowang a su utilidad RannohDecryptor.
"Los expertos de Kaspersky analizaron el ransomware y encontraron una vulnerabilidad que permite descifrar los archivos de los usuarios afectados a través de un ataque de texto sin formato conocido", dijo hoy la compañía.
Esta variedad de ransomware cifra los archivos de más de 3 GB y los de menos de 3 GB utilizando diferentes métodos: los más grandes se cifran parcialmente en franjas de 5 MB cada 200 MB, mientras que los más pequeños se cifran por completo de principio a fin.
Debido a esto, "si el archivo original tiene más de 3 GB, es posible descifrar todos los archivos en el sistema infectado, tanto grandes como pequeños. Pero si hay un archivo original de menos de 3 GB, solo se pueden descifrar los archivos pequeños". descifrado".
LEE LA HISTORIA: Computadora que emite pitidos
Nueva variante de BotenaGo descubierta por Nozomi Networks Labs
DE LOS MEDIOS: Según AT&T Alien Labs , el malware BotenaGo se ha implementado con más de 30 funciones de explotación, lo que pone a millones de dispositivos IoT en riesgo de posibles ataques cibernéticos. BotenaGo está escrito en "Go", que es un lenguaje de programación de código abierto de Google. Si bien el uso de lenguajes de programación de código abierto tiene sus beneficios, los atacantes también se han aprovechado al utilizar el malware malicioso Go to Code.
Nuestra investigación destaca el descubrimiento de Nozomi Networks Labs de una nueva variante del malware BotenaGo que apunta específicamente a los dispositivos DVR con cámara de seguridad Lilin. Hemos llamado a esta muestra "escáner Lillin" debido al nombre que los desarrolladores usaron en el código fuente: /root/lillin.go
. Profundicemos en la funcionalidad de este ejemplo para mostrar paso a paso cómo funcionan este tipo de escáneres.
LEA LA HISTORIA: Security Boulevard
Pakistán sigue el ejemplo de Rusia al explotar la debilidad del vecino Afganistán
DE LOS MEDIOS: Con Pakistán lanzando un “ataque aéreo no provocado” contra Afganistán, matando a civiles inocentes con el pretexto de acabar con el grupo terrorista, Tehrik-e-Taliban Pakistan (TTP), parece que Pakistán está inspirado por su nuevo amigo Rusia en explotando la debilidad de sus países vecinos, dijo un informe de prensa.
Inspirándose en el nuevo amigo Rusia y su presidente Vladimir Putin, el ejército de Pakistán está explotando la debilidad militar del régimen talibán y la excesiva dependencia de Pakistán para lanzar ataques aéreos contra objetivos civiles con impunidad, escribe Kaliph Anaz.
Al trazar similitudes entre Ucrania y Afganistán, Anaz opina que, al igual que Ucrania, los talibanes no tienen el poder militar ni los recursos para contrarrestar al ejército de Pakistán y, a pesar de las profundas sospechas sobre el régimen talibán, la comunidad internacional no puede permitir que Pakistán ataque a la población civil en Afganistán.
LEA LA HISTORIA: La impresión
Lenovo parchea las vulnerabilidades del firmware UEFI que afectan a millones de usuarios
DE LOS MEDIOS: Lenovo ha corregido un trío de errores de los que se podría abusar para realizar ataques UEFI.
Los pasos simples pueden marcar la diferencia entre perder sus cuentas en línea o mantener lo que ahora es un bien preciado: su privacidad.
Descubiertas por el investigador de ESET Martin Smolár, las vulnerabilidades, asignadas como CVE-2021-3970 , CVE-2021-3971 y CVE-2021-3972 , podrían explotarse para "implementar y ejecutar con éxito el malware UEFI, ya sea en forma de implantes flash SPI como LoJax o implantes ESP como ESPecter " en el BIOS del portátil Lenovo.
En los ciberataques UEFI, las operaciones maliciosas se cargan en un dispositivo comprometido en una etapa temprana del proceso de arranque. Esto significa que el malware puede alterar los datos de configuración, establecer persistencia y puede eludir las medidas de seguridad que solo se cargan en la etapa del sistema operativo.
El martes, ESET dijo que las vulnerabilidades afectan a "más de cien modelos diferentes de computadoras portátiles de consumo con millones de usuarios en todo el mundo" y fueron causadas por controladores que solo se usaron durante la etapa de desarrollo del producto de Lenovo.
LEA LA HISTORIA: ZDNET
Peaje de ransomware de Conti en la industria de la salud
DE LOS MEDIOS: El 13 de abril, Microsoft dijo que ejecutó un ataque furtivo legal contra Zloader, un troyano de acceso remoto y una plataforma de malware que varios grupos de ransomware han utilizado para implementar su malware dentro de las redes de las víctimas. Más específicamente, Microsoft obtuvo una orden judicial que le permitió confiscar 65 nombres de dominio que se usaban para mantener la botnet Zloader.
La demanda civil de Microsoft contra Zloader nombra a siete “John Does”, esencialmente buscando información para identificar a los ciberdelincuentes que usaron Zloader para realizar ataques de ransomware. Como señala la queja de la compañía, algunos de estos John Does estaban asociados con colectivos de ransomware menores como Egregor y Netfilim.
Pero según Microsoft y un aviso de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), Zloader tenía una relación especial con Ryuk/Conti, actuando como una plataforma de distribución preferida para implementar el ransomware Ryuk/Conti .
Varias partes respaldaron a Microsoft en sus esfuerzos legales contra Zloader mediante la presentación de declaraciones de respaldo, incluido Errol Weiss, un ex probador de penetración de la Agencia de Seguridad Nacional (NSA) de EE. UU. Weiss ahora se desempeña como director de seguridad del Centro de Análisis e Intercambio de Información de Salud (H-ISAC), un grupo industrial que comparte información sobre ataques cibernéticos contra proveedores de atención médica.
LEA LA HISTORIA: Krebs sobre la seguridad
Microsoft está a la caza de ciberdelincuentes
DE LOS MEDIOS: Una de las compañías tecnológicas más grandes del mundo está cazando ciberdelincuentes, ya que Microsoft ha establecido una Unidad de Delitos Digitales (DCU) para eliminar las amenazas en línea. Y ya han derribado a algunos jugadores clave en el mundo del crimen cibernético.
Si ha estado en línea en los últimos años, es probable que haya notado que las amenazas cibernéticas acechan en prácticamente todos los rincones. Desde amenazas de ransomware hasta brechas de seguridad , está llegando un punto en el que las empresas deben estar en constante búsqueda de piratas informáticos que intenten robar su información.
Afortunadamente, la DCU de Microsoft está en el caso y ya ha desmantelado a algunos de los peores ciberdelincuentes que asolan el mundo de los negocios en la actualidad.
LEA LA HISTORIA: Tecnología
artículos de interés
El Comando Cibernético de EE. UU. le da al Congreso una lista de deseos de prioridades no financiadas de $ 236 millones
DE LOS MEDIOS: Una lista de deseos del Comando Cibernético de EE. UU. compartida con el Congreso muestra $ 236 millones en prioridades no financiadas, incluidos alrededor de $ 168 millones para apoyar su Fuerza de Misión Cibernética, un grupo de 6,200 miembros del personal encargado de realizar operaciones cibernéticas ofensivas y defensivas.
La solicitud de gasto de la administración para el año fiscal 2023 para el Comando Cibernético no incluyó las prioridades no financiadas, y se compartió cuando el Congreso comienza a sopesar su solicitud de presupuesto de $ 773 mil millones para el Pentágono el próximo año.
Los $168 millones para apoyar a Cyber Mission Force comprenden la mayor parte de las prioridades no financiadas y son especialmente significativos. El CMF incluye 133 equipos que defienden las redes del Departamento de Defensa , apoyan objetivos militares, brindan apoyo analítico para misiones de combate y defienden la infraestructura crítica de EE. UU.
LEA LA HISTORIA: Cyberscoop
Diseccionando el grupo de hackers SANDWORM de Rusia y el ataque de malware INDUSTROYER2 ( Video)
DE LOS MEDIOS: Sandworm, un nombre dado a lo que probablemente sea una célula dentro del brazo cibernético del brazo cibernético de la inteligencia militar rusa (GRU), es una de las amenazas persistentes avanzadas (APT) más infames en Internet hoy en día. Este grupo es responsable de algunos de los ciberataques más destructivos hasta la fecha. Nos sumergimos en el grupo, así como en su ataque más reciente a la red eléctrica de Ucrania.
La regulación de las redes sociales y la privacidad en la era de Internet (video)
DE LOS MEDIOS: En el episodio de este mes de Énfasis agregado, los futuros anfitriones Brock Jones y Matt Chelf se unieron a mí para hablar con el profesor de la Facultad de Derecho de la Universidad de Texas, Joe Cosgrove, Jr., sobre la regulación de las redes sociales y los derechos de privacidad. El profesor Cosgrove tiene más de 35 años de experiencia legislativa, regulatoria y legal, incluido el tiempo que pasó como asesor legal de AT&T. El profesor Cosgrove actualmente enseña Regulación de Internet y Telecomunicaciones en Texas Law, y ha escrito sobre temas de derecho de Internet como la Sección 230 y la Neutralidad de la Red. Discutimos temas como qué leyes rigen actualmente el contenido de las redes sociales y por qué algunas compañías de redes sociales podrían estar abogando por una regulación más estricta, qué derechos tienen realmente los clientes sobre su privacidad y cómo se ve el futuro de la era de Internet.
Acerca de este producto
Estos productos de código abierto son revisados por analistas de InfoDom Securities y brindan un posible contexto sobre las tendencias actuales de los medios con respecto al ámbito de la seguridad cibernética. Las historias seleccionadas cubren una amplia gama de amenazas cibernéticas y están destinadas a ayudar a los lectores a enmarcar las amenazas clave discutidas públicamente y el conocimiento general de la situación. InfoDom Securities no respalda específicamente ninguna afirmación de terceros realizada en su material original o enlaces relacionados en sus sitios, y las opiniones expresadas por terceros son solo suyas. Póngase en contacto con InfoDom Securities en dominanceinformation@gmail.com