miércoles, 20 de abril de 2022 // (IG): BB //Patrocinador semanal: Philly Tech Club
Night Sky: una amenaza de corta duración de un actor de amenazas de larga duración
DE LOS MEDIOS: En un nuevo informe sobre amenazas , Vedere Labs analiza el comportamiento del malware Night Sky en dos muestras, presenta una lista de IoC extraídos del análisis y analiza la mitigación.
El ransomware Night Sky se informó por primera vez el 1 de enero de 2022. Se pidió a las víctimas que se pusieran en contacto con los atacantes para pagar el rescate. Si las víctimas se negaban a pagar, los atacantes amenazaban con exponer sus datos en un sitio de fuga. Esto se conoce como ransomware de doble extorsión , que fue utilizado por primera vez por Maze y ahora es utilizado por varios grupos de ransomware.
Informes anteriores sugieren que Night Sky se ha distribuido mediante la explotación de la vulnerabilidad Log4Shell y está conectado a un actor de amenazas con sede en China, que Microsoft rastrea como DEV-0401. La campaña Night Sky fue corta y comprometió a dos víctimas en Bangladesh y Japón. Actualmente, la infraestructura de Night Sky está fuera de línea , lo que sugiere que el actor de amenazas puede haber cambiado de nombre.
Night Sky ofrece una vista interesante de las relaciones entre varias familias de ransomware. Se descubrió que Night Sky era una bifurcación de una familia de ransomware llamada Rook , que a su vez se derivó del código fuente filtrado de Babuk y fue implementado por el mismo actor de amenazas que usó LockFile y AtomSilo , que están tan cerca que comparten la misma herramienta de descifrado .
LEA LA HISTORIA: Security Boulevard
Okta cierra la sonda de infracciones de Lapsus$ y agrega nuevos controles de seguridad
DE LOS MEDIOS: La empresa de tecnología de administración de acceso e identidad Okta dice que ha concluido una investigación sobre el vergonzoso incidente de piratería de Lapsus$ y ha cortado los lazos con una empresa de terceros en el centro de la violación.
Al enfrentarse a las críticas públicas por los problemas de comunicación después de que se detectó la brecha, Okta emitió una declaración pública el miércoles para enfatizar que el impacto del incidente fue "significativamente menor de lo que esperábamos inicialmente".
Una declaración del Director de Seguridad de la Información (CISO) de Okta, David Bradbury, dijo que la compañía determinó inicialmente que alrededor de 366 clientes se vieron afectados, pero una auditoría forense de un tercero mostró que el daño estaba contenido.
LEA LA HISTORIA: Semana de la Seguridad
El ransomware dirigido a plataformas de virtualización va en aumento, dice Mandiant
DE LOS MEDIOS: Mandiant ha observado un "aumento significativo" en la cantidad de incidentes relacionados con un ataque de ransomware dirigido contra la infraestructura de virtualización, dijo a VentureBeat un experto de la firma de seguridad cibernética.
El aumento se produjo en los últimos seis a 12 meses y representa un ajuste de las tácticas de los actores de amenazas, lo que les permite "cifrar de manera más rápida y eficiente una gran cantidad de hosts", dijo Greg Blaum, consultor principal de Mandiant.
El martes, Mandiant publicó M-Trends 2022, el decimotercer informe anual de amenazas de la empresa. Entre los principales hallazgos se encuentra que Mandiant ha observado que los actores de amenazas centrados en el ransomware “se dirigen cada vez más a la infraestructura de virtualización”, reveló la empresa en el informe M-Trends 2022.
Mientras que un ataque de ransomware tradicional requiere implementar la carga útil maliciosa en varios hosts en el entorno de una víctima, un ataque a la infraestructura de virtualización puede infectar potencialmente cientos de máquinas virtuales a la vez. Con esta variedad de ataques, "golpear una máquina es mucho más efectivo", dijo Blaum.
LEE LA HISTORIA: Venture Beat // ARN
¿Qué es el secuestro de conversaciones? Explorando esta forma emergente de phishing
DE LOS MEDIOS: Los ataques de ingeniería social, como los correos electrónicos de phishing, suelen generar buenos resultados para los actores de amenazas como punto de entrada inicial a las redes comerciales. Al explotar la psicología humana en lugar de confiar en habilidades técnicas sofisticadas, los piratas informáticos consideran que las campañas de phishing son fáciles de escalar. De hecho, un análisis de incidentes cibernéticos encontró que el phishing estuvo involucrado en el 90% de las filtraciones de datos.
La relativa simplicidad técnica del phishing no significa que no haya lugar para la evolución de los métodos. En los últimos años, ha surgido una nueva forma de phishing denominada secuestro de conversaciones. Este artículo detalla qué es el secuestro de conversaciones, por qué vale la pena prestarle atención como ciberamenaza y algunas estrategias para defenderse de ella.
El secuestro de conversaciones es un tipo más nuevo de ataque de phishing en el que los actores de amenazas se insertan en las conversaciones de correo electrónico de la empresa. La motivación para el secuestro de conversaciones podría ser aprovechar la inteligencia para enviar facturas falsas y recibir grandes pagos o husmear en información comercial confidencial.
Los informes sobre el secuestro de conversaciones se remontan a 2019, cuando un hacker logró meterse en medio de las comunicaciones entre una empresa china de capital de riesgo y una startup israelí. El resultado de este ataque fue la pérdida de $1 millón en fondos. Si esto suena como un ataque de hombre en el medio, bueno, lo es, excepto que explota la psicología humana en lugar de los canales de comunicación inseguros.
LEA LA HISTORIA: Security Boulevard
China apunta a formar organizaciones estándar internacionales para el dominio cibernético
DE LOS MEDIOS: La aspiración de Beijing de convertirse en una gran potencia cibernética se refleja en sus políticas dirigidas a competir con Occidente en tecnología de próxima generación y, como parte de este esfuerzo, está tratando de fortalecer su influencia en los grupos de desarrollo de estándares internacionales .
China ha presionado mucho para puestos clave en las burocracias SDO extranjeras en un intento de persuadir al proceso de estándares internacionales destinado a regular eventualmente el uso de tecnología estratégica clave, según Tibet Press.
Beijing ha mejorado considerablemente su capacidad para asegurar la aprobación de sus iniciativas y rechazar aquellas que no apoya utilizando una variedad de estrategias.
La estrategia intencionada es fortalecer la influencia de China dentro de los grupos de desarrollo de normas internacionales .
En particular, la Iniciativa de la Franja y la Ruta ha atraído una atención considerable, junto con la serie "Navegando la Franja y la Ruta" del Asia Society Policy Institute (ASPI), la Ruta de la Seda Digital (DSR), que apoya la exportación de tecnologías de telecomunicaciones chinas, así como otros sistemas de alta tecnología, habían obtenido mucho menos.
El proceso de establecimiento de estándares, según las autoridades de China, es una señal de una potencia técnica líder.
LEA LA HISTORIA: Business Standard
China estudiará la contaminación de la Tierra a través de un nuevo satélite
DE LOS MEDIOS: Se necesita mucho para abordar los cambios climáticos drásticos de la Tierra y China está enviando un satélite para hacer un estudio en profundidad con ese fin. Con el tiempo, los científicos chinos pronto tendrán una nueva herramienta basada en el espacio para avanzar en su investigación sobre el medio ambiente atmosférico y la contaminación.
El AES es un satélite de 2,6 toneladas métricas y fue lanzado recientemente por un cohete portador Gran Marcha 4C desde el Centro de Lanzamiento de Satélites de Taiyuan en la provincia de Shanxi. En consecuencia, entró en una órbita sincronizada con el sol a 705 kilómetros sobre la Tierra. El satélite está diseñado para observar la salud del planeta desde arriba. Es el primer satélite del mundo que utiliza un radar láser para detectar dióxido de carbono.
Después de las pruebas en órbita, el satélite Atmospheric Environmental Surveyor (AES) comenzará sus operaciones de monitoreo y enviará datos a los científicos, según sus diseñadores en la Academia de Tecnología de Vuelos Espaciales de Shanghai.
AES se centrará en el estudio de diferentes aspectos clave de la salud del planeta. Se utilizará para observar la contaminación del aire, los gases de efecto invernadero y otros elementos ambientales. Al hacerlo, proporcionará datos para la investigación sobre el cambio climático y los cambios ecológicos, y ayudará a pronosticar los rendimientos y peligros agrícolas, dijeron los diseñadores.
LEA LA HISTORIA: Open Gov Asia
Descifrando la orden ejecutiva cibernética
DE LOS MEDIOS: Dado que la administración y la comunidad de seguridad han estado monitoreando de cerca la amenaza potencial de los ataques cibernéticos del estado-nación de Rusia y asesorando a las organizaciones para reforzar sus defensas cibernéticas, es importante recordar que la Orden ejecutiva del presidente Joe Biden sobre la mejora de la seguridad cibernética de la nación proporciona un marco excelente para apuntalar los sistemas de seguridad federales. La EO establece nuevas directivas de seguridad cibernética que, cuando tengan éxito, cambiarán radicalmente la arquitectura de seguridad y la cultura de TI en todo el gobierno federal.
Al exigir la adopción de principios de confianza cero, la Casa Blanca ha ordenado a las organizaciones gubernamentales de TI que realicen cambios completos en su cultura y enfoque de la ciberseguridad. En pocas palabras, los modelos de seguridad centrados en la red y el cumplimiento deben dar paso a modelos centrados en el riesgo y los datos. Las organizaciones ya no podrán segmentar los equipos de seguridad, sino que tendrán que ver su solución de seguridad como un solo sistema. Curiosamente, estos requisitos se parecen mucho al propósito de la detección y respuesta extendidas (XDR).
Si bien la expectativa de la EO es que el gobierno federal cumpla objetivos específicos hacia la eventual adopción de una arquitectura de confianza cero madura para 2024, la verdadera pregunta es que las agencias realicen cambios significativos en la forma en que ven, administran e informan sobre sus programas de seguridad cibernética. Durante más de tres décadas, el gobierno ha operado con seguridad basada en "casillas de verificación", estableciendo estándares mínimos de seguridad y puntos de referencia y luego calificando la capacidad de cumplir. La confianza cero no puede tener éxito en un modelo de seguridad centrado en el cumplimiento. En una arquitectura de confianza cero, el cumplimiento es un punto de telemetría para evaluar el riesgo, pero simplemente cumplir no elimina el riesgo. El desafío al que se enfrentan muchas agencias federales es transformar una plataforma de seguridad que evalúe continuamente el riesgo de cada solicitud de recursos,
LEE LA HISTORIA: FCW
Funky Pigeon suspende pedidos tras ataque cibernético
DE LOS MEDIOS: El minorista de tarjetas de regalo Funky Pigeon ha sufrido un ataque cibernético, lo que llevó a la empresa a suspender temporalmente los pedidos.
Funky Pigeon, propiedad de WHSmith, reveló que había desconectado sus sistemas como medida de precaución, lo que le impedía cumplir con los pedidos de los clientes. El sitio web de la empresa actualmente lleva el mensaje: '¡Ups! Estamos experimentando algunos problemas y no podemos aceptar nuevos pedidos en este momento. ¡Por favor, inténtelo de nuevo más tarde!'
El minorista dijo que había informado a los reguladores y a las fuerzas del orden sobre el incidente, que actualmente está investigando con la ayuda de expertos externos en ciberseguridad. Sin embargo, aseguró a los clientes que ningún dato de pago estaba en riesgo y no creía que las contraseñas de las cuentas estuvieran comprometidas.
En un comunicado, Funky Pigeon dijo: “Tan pronto como descubrimos el incidente el jueves pasado, iniciamos una investigación forense dirigida por expertos externos para comprender el incidente y si ha habido algún impacto en los datos del cliente.
LEA LA HISTORIA: Revista Info Security
España: Catalanes hackeados para lanzar una oferta legal sobre el uso de spyware
MEDIOS DE COMUNICACIÓN: Políticos y activistas separatistas de Cataluña anunciaron el martes una ofensiva legal en media docena de países contra el Estado español y los israelíes propietarios de un controvertido software espía supuestamente utilizado para espiarlos.
El jefe de la región del noreste de habla catalana e hispana también anunció que las relaciones con las autoridades centrales en España seguirán tensas hasta que Madrid lleve a cabo una investigación completa y castigue a los responsables de la supuesta vigilancia.
Una portavoz del gobierno español dijo que no había espionaje ilegal en el país.
Citizen Lab, un equipo de expertos en seguridad cibernética afiliado a la Universidad de Toronto, había revelado un día antes lo que se cree que es el grupo más grande hasta la fecha documentado forensemente de intentos de piratería con Pegasus, un programa que se infiltra silenciosamente en los teléfonos para recolectar sus datos y potencialmente espiar a sus dueños.
LEA LA HISTORIA: SYR local
El Servicio Secreto ha incautado más de USD 100 millones en criptomonedas
DE LOS MEDIOS: Según los informes, el Servicio Secreto ha incautado más de $ 100 millones en criptomonedas desde 2015 en un esfuerzo por tomar medidas enérgicas contra las transacciones fraudulentas de moneda digital.
David Smith, del Servicio Secreto, le dijo a CNBC que su oficina ha estado rastreando el flujo de Bitcoin y otras criptomonedas en la cadena de bloques para prevenir y combatir actividades fraudulentas.
“Cuando sigues una billetera de moneda digital, no es diferente a una dirección de correo electrónico que tiene algunos identificadores correlacionados”, dijo Smith, el subdirector de la Oficina de Investigaciones de la agencia, al medio.
“Y una vez que una persona y otra persona realizan una transacción, y eso ingresa a la cadena de bloques, tenemos la capacidad de seguir esa dirección de correo electrónico o dirección de billetera, por así decirlo, y rastrearla a través de la cadena de bloques”, agregó.
CNBC informó el martes, citando datos de la agencia, que el Servicio Secreto ha incautado USD 102 millones en criptofondos en más de 250 casos en los últimos siete años.
LEE LA HISTORIA: La Colina
LAZARUS APT OBJETIVO DE ORGANIZACIONES DE BLOQUES CON TRADERTRAITOR MALWARE
DE LOS MEDIOS: El prolífico y rapaz grupo norcoreano APT Lazarus está ejecutando una campaña en curso dirigida a inversores en criptomonedas, intercambios, empresas comerciales y organizaciones de blockchain para obtener acceso a claves valiosas y otra información, instalar malware y robar fondos y otros datos.
La campaña utiliza una serie de tácticas, incluido el phishing selectivo, la ingeniería social y la instalación de un nuevo conjunto de aplicaciones maliciosas llamadas TraderTraitor que roban datos del sistema, instalan un troyano de acceso remoto y realizan otras actividades maliciosas. La Agencia de Seguridad de Infraestructura y Ciberseguridad, el FBI y el Departamento del Tesoro emitieron un nuevo aviso sobre la campaña del Grupo Lazarus el martes y advirtieron que el grupo está utilizando aplicaciones de criptomonedas modificadas con la puerta trasera AppleJeus para afianzarse en las máquinas objetivo.
“El Grupo Lazarus usó aplicaciones de criptomonedas troyanizadas AppleJeus dirigidas a individuos y empresas, incluidos los intercambios de criptomonedas y las empresas de servicios financieros, a través de la difusión de aplicaciones comerciales de criptomonedas que se modificaron para incluir malware que facilita el robo de criptomonedas”, dice el aviso.
“Las intrusiones comienzan con una gran cantidad de mensajes de phishing enviados a empleados de empresas de criptomonedas, que a menudo trabajan en administración de sistemas o desarrollo de software/operaciones de TI (DevOps), en una variedad de plataformas de comunicación. Los mensajes a menudo imitan un esfuerzo de reclutamiento y ofrecen trabajos bien remunerados para atraer a los destinatarios a descargar aplicaciones de criptomonedas con malware".
LEER LA HISTORIA: DÚO
artículos de interés
¿Se ha ido para siempre el ejército de hackers de Bashar al-Assad?
DE LOS MEDIOS: En abril de 2013, activistas en línea pro-Assad de Siria piratearon la cuenta de Twitter de Associated Press y tuitearon sobre una explosión falsa en la Casa Blanca que supuestamente hirió al presidente Barack Obama, lo que provocó que el mercado de valores de EE. $ 136 mil millones. Esta unidad de piratas informáticos de élite de leales al régimen sirio, conocida como el Ejército Electrónico Sirio (SEA) y posiblemente financiada por Rami Makhlouf, el primo multimillonario de Bashar al-Assad, también atacó a la Universidad de Harvard, el Cuerpo de Marines de EE. UU., Human Rights Watch y otras noticias nacionales. puntos de venta en ciberataques separados.
De 2011 a 2014, la SEA llevó a cabo una campaña cibernética extremadamente activa destinada a difundir propaganda a favor de Assad y desfigurar sitios web que eran hostiles a la dictadura siria. Sin embargo, después de 2014, la SEA se volvió mucho menos activa, e incluso guardó silencio en sus páginas de redes sociales. Por ejemplo, la página oficial de SEA en Twitter no se ha actualizado desde 2015, mientras que su página de YouTube ha estado inactiva durante más de ocho años. Los informes noticiosos de hacks reclamados por SEA también han sido pocos y distantes entre sí en los últimos años. La rápida caída de la actividad cibernética de SEA es alarmante, dado que el grupo de piratas informáticos alguna vez fue considerado uno de los más sofisticados .grupos internacionales de piratas informáticos y se mencionaba habitualmente en los titulares de noticias internacionales. Entonces, ¿qué pasó con el MAR?
LEA LA HISTORIA: Interés Nacional
Los ataques a la infraestructura apuntan a Ucrania y EE. UU. ( Video)
DE LOS MEDIOS: ¡Pipedream podría apuntar a la infraestructura de los EE. UU., la seguridad cibernética de Ucrania evitó un gran ataque al sector energético y las fuerzas del orden confiscaron RaidForums!
Discutiendo la Guerra Cibernética Rusia-Ucrania (Video)
DE LOS MEDIOS: Amy conversa con Eran Fine, el CEO y cofundador de Nanolock Security, sobre la guerra cibernética en curso en Ucrania. También conversan sobre la historia de los ataques cibernéticos ruso-ucranianos, el ransomware, el ataque del oleoducto colonial y los demás que realmente tienen para su privacidad, y cómo se ve el futuro de la era de Internet.
Acerca de este producto
Estos productos de código abierto son revisados por analistas de InfoDom Securities y brindan un posible contexto sobre las tendencias actuales de los medios con respecto al ámbito de la seguridad cibernética. Las historias seleccionadas cubren una amplia gama de amenazas cibernéticas y están destinadas a ayudar a los lectores a enmarcar las amenazas clave discutidas públicamente y el conocimiento general de la situación. InfoDom Securities no respalda específicamente ninguna afirmación de terceros realizada en su material original o enlaces relacionados en sus sitios, y las opiniones expresadas por terceros son solo suyas. Póngase en contacto con InfoDom Securities en dominanceinformation@gmail.com