Wednesday 31 July 2019
Tuesday 30 July 2019
SEVERO CIBERATAQUE EN LOUISIANA; MÚLTIPLES ESCUELAS INFECTADAS CON RANSOMWARE
CONTENIDO ORIGINAL: https://noticiasseguridad.com/hacking-incidentes/severo-ciberataque-en-louisiana-multiples-escuelas-infectadas-con-ransomware/
Los ataques de malware siguen a la alza. Especialistas en seguridad en páginas web del Instituto Internacional de Seguridad Cibernética (IICS) reportan que múltiples sistemas informáticos en instituciones académicas de Louisiana, E.U., han sido atacados con una variante de malware desconocida. Hasta el momento no se han identificado ataques contra otros sectores.
El incidente es tan serio que John Bel Edwards, gobernador del estado, emitió una declaratoria de emergencia después de que la violación de seguridad fuera descubierta el pasado miércoles, gracias a esto, las autoridades podrán destinar recursos públicos para resolver el incidente. Esta es la primera vez que el gobierno de Louisiana lanza una emergencia de ciberseguridad.
“Nuestros expertos en seguridad en páginas web han detectado un ataque de malware en algunos sistemas escolares al norte de nuestro territorio; estamos implementando medidas coordinadas para atender el incidente”, declaró el gobernador.
En los más recientes meses se han detectado varios casos en los que los hackers consiguen comprometer los sistemas informáticos de distintas ciudades con algunas variantes de software malicioso, especialmente ransomware. Sólo en E.U., han ocurrido múltiples ataques contra pequeñas ciudades y territorios en estados como Nueva York, Florida y Atlanta.
Además de la posibilidad de usar recursos económicos, la declaración de alerta permite al gobernador Edwards recurrir a especialistas en seguridad en páginas web de la Guardia Nacional de Louisiana, la Policía del Estado, la Oficina de Servicios Tecnológicos, entre otras corporaciones a nivel federal.
En 2017, el gobernador Edwards impulsó la creación de una comisión integrada por compañías proveedoras de servicios de tecnología, académicos y agencias de la ley; el objetivo de esta comisión era desarrollar protocolos para responder a esta clase de amenazas.
“Este es el tipo de incidentes en el que pensamos al crear la Comisión de Ciberseguridad; era necesario un organismo que se enfocara en la prevención, detección y respuesta a incidentes de seguridad informática, pues muchas veces los gobiernos locales se ven ampliamente superados por las capacidades de los grupos de hackers maliciosos”, añadió el gobernador.
En estos momentos, las agencias y profesionales que integran la comisión se encuentran desarrollando el plan que será implementado para corregir este serio incidente.
ATAQUE DE RANSOMWARE PROVOCA APAGÓN EN JOHANNESBURGO, SUDÁFRICA
CONTENIDO ORIGINAL: https://noticiasseguridad.com/hacking-incidentes/ataque-de-ransomware-provoca-apagon-en-johannesburgo-sudafrica/
Los ciberataques contra la infraestructura crítica se han convertido en algo demasiado común, mencionan expertos en auditorías de sistemas; grupos de actores de amenazas se encuentran desarrollando constantemente nuevas formas de comprometer sectores críticos de la industria y los servicios públicos buscando beneficios económicos o incluso interferir en la vida política del territorio atacado.
En esta ocasión, ha sido reportada una infección de ransomware en los sistemas de uno de los proveedores de energía eléctrica más importantes de Sudáfrica, específicamente en la capital, Johannesburgo. El incidente fue sorpresivo y dejó a miles de residentes sin energía.
La compañía afectada por el incidente, City Power, presta un servicio de distribución de electricidad prepagada para los residentes y compañías locales. Acorde al reporte de la compañía, el malware de cifrado bloqueó el acceso a las bases de datos, redes internas, aplicaciones web y el sitio oficial de City Power.
La infección fue detectada el miércoles por la noche. Según han mencionado especialistas en auditorías de sistemas, el incidente ha impedido a los ciudadanos acceder a los servicios de prepago de la compañía; además, emprendedores que producen energía a partir de paneles solares para después venderla a la compañía también han visto interrumpido su negocio.
Para empeorar un poco el panorama, medios locales reportan que, por lo general, los planes de prepago de energía eléctrica de los residentes de Johannesburgo vencen durante los últimos cinco días de cada mes, por lo que un apagón masivo podría estar a la vuelta de la esquina. En una actualización del incidente, la compañía mencionó que el ransomware usado por los hackers les ha impedido responder a las interrupciones en el servicio detectadas hasta ahora, pues City Power no cuenta con acceso a sus aplicaciones internas. La compañía declinó revelar el nombre de la variante de ransomware empleada en el ataque.
Especialistas en auditorías de sistemas del Instituto Internacional de Seguridad Cibernética (IICS) han reportado recientes ciberataques contra los servicios y oficinas públicas en múltiples lugares del mundo, especialmente en Estados Unidos. Hace un par de meses fue detectada una pequeña oleada de ataques de ransomware contra pequeñas ciudades en Florida, E.U. que, si bien no resultaron en apagones o fallas de infraestructura, costaron cientos de miles de dólares en gastos de recuperación, por lo que se recomienda a los usuarios mantenerse alertas ante cualquier posible intento de ataque cibernético.
GOOGLE QUIERE ESCUCHAR TUS CONVERSACIONES CON LA NUEVA APP DE AMPLIFICACIÓN DE SONIDOS
CONTENIDO ORIGINAL: https://noticiasseguridad.com/seguridad-movil/google-quiere-escuchar-tus-conversaciones-con-la-nueva-app-de-amplificacion-de-sonidos/
Múltiples implementaciones de tecnología que alguna vez existieron sólo en la ciencia ficción, hoy son comunes en millones de hogares. Según especialistas en servicios de ciberseguridad, un ejemplo claro son las aplicaciones que se activan con la voz, como Google Sound Amplifier, para Android. Esta herramienta cuenta con acceso a cualquier cosa que escucha el usuario, como programas de TV, pláticas entre amigos, música que escucha el usuario, etc.
Si bien algunos consideran que su uso es realmente útil para múltiples propósitos, usuarios menos confiados consideran que estas herramientas son auténticos caballos de Troya en términos de vigilancia en plena era digital.
Los desarrolladores afirman que el uso más común de esta app es para ayudar a las personas con discapacidades auditivas. Usando Sound Amplifier, las personas con dificultad para escuchar claramente podrán detectar sonidos que de otro modo no podrían sin que esto intervenga en su entorno, por lo que otras personas cercanas ni siquiera notarán su uso. Esta aplicación usa aprendizaje automático para clasificar millones de muestras de audio y adaptarse a las necesidades de cada usuario.
Acorde a los expertos en servicios de ciberseguridad, cuando un usuario conecta sus audífonos a un smartphone con Sound Amplifier puede personalizar las frecuencias para aumentar los sonidos emitidos por una fuente de audio determinada. En pocas palabras, la aplicación aumenta amplifica el sonido deseado y filtra el ruido de ambiente, con lo que se puede escuchar cómodamente una conversación en un entorno ruidoso.
A pesar de sus ventajas, expertos del Instituto Internacional de Seguridad Cibernética (IICS) consideran que los actores de amenazas podrían aprovecharse de esta app con fines maliciosos. Por ejemplo, una conversación privada puede ser escuchada fácilmente con esta herramienta, además, un atacante podría combinar el uso de esta app con técnicas de ingeniería social para robar las credenciales de inicio de sesión de un usuario desprevenido.
Por si no fuese suficiente, el uso de esta aplicación implica inconvenientes de privacidad. Especialistas en servicios de ciberseguridad afirman es un hecho demostrado que Google Sound Amplifier almacenará un registro de cada conversación del usuario que después será enviado a la nube. Por obvias razones, este es un asunto de privacidad realmente serio, similar a las violaciones de privacidad en las que incurren frecuentemente herramientas de software que se activan con la voz, como los asistentes de Google y Apple.
Problemas como este, aunque indeseables, al menos deben ayudar a recordarnos la necesidad de crear una Declaración de Derechos en Internet que proteja al usuario contra estos intentos de vigilancia sistemática. ¿Acaso no hemos librado ya muchas batallas para evitar esa clase de violaciones a nuestra privacidad?
NUEVA BRECHA DE DATOS EN SKY; POR SEGURIDAD, REVISE SUS CUENTAS BANCARIAS
CONTENIDO ORIGINAL: https://noticiasseguridad.com/hacking-incidentes/nueva-brecha-de-datos-en-sky-por-seguridad-revise-sus-cuentas-bancarias/
Los incidentes de robo de datos son más comunes de los que pensamos. Acorde a especialistas en seguridad de datos, la mayoría de las veces los hackers no obtienen información directamente de los individuos, sino que se enfocan en comprometer la seguridad de compañías que almacenan múltiples datos personales de sus clientes.
Este parece ser el caso de la compañía de televisión de paga Sky, que ha solicitado a sus clientes restablecer sus contraseñas luego de que se detectara una posible brecha de datos en los sistemas de la compañía. Además, la compañía notificó que las contraseñas de todos los usuarios de la plataforma en línea de Sky serían restablecidas automáticamente como parte de la medida de seguridad. La medida aplica para todos los clientes de Sky en Reino Unido.
“Para nosotros, la seguridad de su información es un asunto extremadamente serio, por lo que hemos restablecido su contraseña de Sky; por favor, ayúdenos a mantener su cuenta segura restableciendo sus contraseñas en otras plataformas”, menciona el correo electrónico recibido por los usuarios potencialmente afectados.
A través de sus perfiles de redes sociales, la compañía mencionó que esta medida está relacionada con un “incidente ocurrido hace algunos días”, expertos en seguridad de datos consideran que lo más probable es que se trate de una brecha de datos.
Mientras que los portavoces de la compañía han mencionado que esta se trata de una medida preventiva, el proveedor de email de Sky ha filtrado información sobre un posible acceso no autorizado a múltiples cuentas de correo. Acorde a especialistas en seguridad de datos del Instituto Internacional de Seguridad Cibernética (IICS) este incidente podría estar vinculado de algún modo con la brecha de datos masiva de 2014 en Yahoo, pues esta es la compañía proveedora de correo electrónico de Sky.
No obstante esto es sólo una suposición, pues aún no es posible para Sky determinar la fecha exacta en la que ocurrió el incidente. Otra posible explicación es que los hackers hayan realizado un ataque de relleno de credenciales (credential stuffing); usando contraseñas robadas en otros incidentes, los hackers tratan de ingresar a las cuentas de los usuarios en múltiples plataformas.
A MAJOR MALWARE ATTACK IN LOUISIANA; MULTIPLE SCHOOLS INFECTED WITH RANSOMWARE
CONTENIDO ORIGINAL: https://www.securitynewspaper.com/2019/07/25/a-major-malware-attack-in-louisiana-multiple-schools-infected-with-ransomware/
Malware attacks are still on the rise. International Institute of Cyber Security (IICS) website security specialists report that multiple IT systems in academic institutions in Louisiana, US, have been attacked with an unknown malware variant. So far no attacks have been identified against other sectors.
The incident is so serious that John Bel Edwards, the state’s governor, issued an emergency alert after the security breach was discovered last Wednesday, as a result, the authorities will be able to allocate public resources to resolve the incident. This is the first time the Louisiana government has launched a cybersecurity emergency alert.
“Our website security experts have detected a malware attack on some school systems at the north of our territory; we are implementing coordinated measures to address the incident,” the governor said.
In recent months several cases have been detected in which hackers manage to compromise computer systems in different cities with some variants of malicious software, especially ransomware. In the US alone, multiple attacks have occurred against small towns and territories in states like New York, Florida, and Atlanta.
In addition to the ability to use financial resources, the emergency declaration allows Governor Edwards to turn to website security specialists of the Louisiana National Guard, the State Police, the Office of Technology Services, among other corporations at the federal level.
In 2017, Governor Edwards pushed for the creation of a commission made up of technology service providers, academics and law enforcement agencies; the objective of this committee was to develop protocols to respond to these kinds of threats.
“This is the type of incidents we were thinking about when creating the Cybersecurity Commission; an agency that focused on preventing, detecting and responding to information security incidents was needed, as local governments are often far overwhelmed by the capabilities of malicious hacker groups,” added the Governor.
At the moment, the agencies and professionals that work in this commission are developing the plan that will be implemented to correct this serious incident.
RANSOMWARE ATTACK CAUSES BLACKOUT IN JOHANNESBURG, SOUTH AFRICA
ORIGINAL CONTENT: https://www.securitynewspaper.com/2019/07/25/ransomware-attack-causes-blackout-in-johannesburg-south-africa/
Cyberattacks against critical infrastructure have become common, system audit experts mention; groups of threat actors are constantly developing new ways of compromising critical sectors of industry and public services seeking economic benefits or even interfering in the political life of the attacked territory.
This time, a ransomware infection has been reported on the systems of one of South Africa’s leading power suppliers, specifically in the capital, Johannesburg. The incident was surprising and left thousands of residents without electric power.
The company affected by the incident, City Power, provides a prepaid electricity distribution service for local residents and companies. According to the company’s report, the encryption malware blocked access to databases, internal networks, web applications and the official City Power site.
The infection was detected Wednesday night. As mentioned by system audit specialists, the incident has prevented citizens from accessing the company’s prepaid services; In addition, entrepreneurs who produce energy from solar panels and then sell it to the company have also been disrupted.
To make it worse, local media report that pre-payment electricity plans from Johannesburg residents typically expire during the last five days of each month, so a massive blackout could be just around the corner. In an update to the incident, the company mentioned that ransomware used by hackers has prevented them from responding to service interruptions detected so far, as City Power does not have access to its internal applications. The company declined to reveal the name of the ransomware variant used in the attack.
International Institute of Cyber Security (IICS) system audit specialists have reported recent cyberattacks against services and public offices in multiple locations around the world, especially in the United States. A couple of months ago a small wave of ransomware attacks were detected against small towns in Florida, US that, while not resulting in power outages or infrastructure failures, dispend hundreds of thousands of dollars in recovery costs, so it is recommended to users staying alert against any potential cyberattack attempt.
GOOGLE WANTS TO LISTEN TO YOUR CONVERSATIONS WITH THE NEW SOUND AMPLIFIER APP
ORIGINAL CONTENT: https://www.securitynewspaper.com/2019/07/25/google-wants-to-listen-to-your-conversations-with-the-new-sound-amplifier-app/
Multiple technology implementations that once existed only in science fiction are now common in millions of homes. According to cybersecurity services specialists, a clear example are voice-activated apps, such as Google Sound Amplifier, for Android. This tool has access to anything that the user listens to, such as TV shows, conversations between friends, music that the user listens to, etc.
While some consider its use to be really useful for multiple purposes, less confident users consider these tools to be authentic Trojan horses in terms of surveillance in the middle of the digital age.
The developers claim that the most common use of this app is to help people with hearing handicaps. Using Sound Amplifier, people with hearing difficulty will clearly be able to detect sounds that they might not otherwise be able to detect without this intervening in their environment, so other people nearby won’t even notice their use. This app uses machine learning to classify millions of audio samples and adapt to the needs of each user.
According to cybersecurity services experts, when a user connects their hearing aids to a smartphone with Sound Amplifier, they can customize frequencies to increase the sounds emitted by a given audio source. Simply put, the augments app amplifies the desired sound and filters out ambient noise, so you can comfortably listen to a conversation in a noisy environment.
Despite its advantages, experts from the International Institute of Cyber Security (IICS) believe that threat actors could take advantage of this app for malicious purposes. For example, a private conversation can be easily heard with this tool; in addition, an attacker could combine the use of this app with social engineering techniques to steal the login credentials of an unsuspecting user.
As if that is not enough, the use of this application implies privacy inconveniences. Cybersecurity services specialists claim it is a proven fact that Google Sound Amplifier will store a record of every user conversation that will then be sent to the cloud. For obvious reasons, this is a really serious privacy issue, similar to privacy violations that are frequently incurred by voice-activated software tools, such as Google and Apple attendees.
Problems like this, although undesirable, should at least help remind us of the need to create an Internet Bill of Rights that protects the user against these attempts at systematic surveillance. Haven’t we fought many battles before to prevent those kinds of violations of our privacy?
BE CAREFUL USING ROBINHOOD FOR STOCKS AS HACKERS COULD TAKE AWAY ALL YOUR MONEY ONE DAY
ORIGINAL CONTENT; https://www.securitynewspaper.com/2019/07/25/be-careful-using-robinhood-for-stocks-as-hackers-could-take-away-all-your-money-one-day/
For stock exchange investors, services like Robinhood, an app that makes it easy to trade shares, have become a fundamental tool because of its ease of use and its lows, or even no commissions. However, web application security experts believe that using these services can lead to serious security issues and, in the worst case, huge economic losses.
Robinhood, the popular stock buying and selling app, has just notified its users of a service failure that caused improper storage of login data. These logs were stored in plain text, so they do not have any encryption for their protection. The developers of Robinhood did not mention the total number of affected users.
“A few days ago we discovered that some logins had been stored on our systems in a simple format; it is necessary to inform you that your password could have been compromised”, mentions the mail sent to users by the company.
After several web application security specialists learned of the incident, a Robinhood spokesperson stated for various media: “This is not a data breach or cyberattack incident against our systems; I would also like to point out that this incident does not affect all of our customers,” he said.
Encryption protects sensitive data held by companies in the event of hacking. If this were to happen, a hacker would find information composed of random characters instead of simply finding readable usernames and passwords. Companies like Google have also suffered technical errors that result in inadequate login data storage. The best option in cases like this is for users to reset their passwords, as well as ignoring potential phishing messages that try to take advantage of the confusion.
According to web application security specialists from the International Institute of Cyber Security (IICS), the app reported a considerable increase in its number of users, going from 4 to 6 million in a span of less than a year.
Robinhood is owned by a group of U.S. investors and provides services such as stock movements and cryptocurrency investments without commission. According to local media reports, the company has presented to the U.S. Treasury Department its intentions to become a formal banking institution, even it has already hired important officials from other banks to make the project more robust.
ONCE AGAIN SKY HAS A DATA BREACH. KEEP AN EYE OVER YOUR CREDIT CARD NOTIFICATIONS
ORIGINAL CONTENT: https://www.securitynewspaper.com/2019/07/25/once-again-sky-has-a-data-breach-keep-an-eye-over-your-credit-card-notifications/
Data breach incidents are more common than we think. According to data security specialists, most of the time hackers do not get information directly from individuals, but focus on compromising the security of companies that store multiple personal data of their customers.
This appears to be the case of the pay-TV company Sky, which has asked its customers to reset their passwords after a possible data breach were detected in the company’s systems. In addition, the company notified that the passwords of all users of Sky’s online platform would be automatically reset as part of the security measure. The measure applies to all Sky customers in the UK.
“For us, the security of your information is an extremely serious matter, so we have reset your Sky password; Please help us keep your account secure by resetting your passwords on other platforms,” mentions the email received by potentially affected users.
Through their social media profiles, the company mentioned that this measure is related to an “incident that occurred a few days ago”, data security experts believe that it is most likely a data breach.
While the company’s spokespersons have mentioned that this is a preventive measure, Sky’s email provider has leaked information about possible unauthorized access to multiple email accounts. According to data security specialists from the International Institute of Cyber Security (IICS), this incident could be somehow linked to the massive 2014 data breach at Yahoo, as this is Sky’s email provider.
However, this is only an assumption, as it is not yet possible for Sky to determine the exact date on which the incident occurred. Another possible explanation is that the hackers have performed a credential stuffing attack; using stolen passwords in other incidents (most of the times, available on dark web forums), hackers try to access users’ accounts on multiple online platforms to perform malicious activities.
Monday 29 July 2019
NUEVO ATAQUE EN ANDROID PERMITE ESCUCHAR LLAMADAS DE FORMA REMOTA
CONTENIDO ORIGINAL: https://noticiasseguridad.com/tecnologia/nuevo-ataque-en-android-permite-escuchar-llamadas-de-forma-remota/
Acorde a expertos en análisis de vulnerabilidades, los usuarios de dispositivos móviles con sistema operativo Android se enfrentan a múltiples amenazas a diario. Desde aplicaciones maliciosas hasta exploits en el sistema operativo, los hackers se encuentran desarrollando constantemente nuevas formas de comprometer la seguridad de estos dispositivos.
Ahora, se ha reportado la existencia de un nuevo método para escuchar las llamadas telefónicas conocido como Spearphone, ataque que consiste en usar los sensores de movimiento de un smartphone para intervenir la salida de audio de los altavoces.
Un grupo de expertos en análisis de vulnerabilidades de la Universidad de Alabama, Birminham, descubrió que cualquier sensor de movimiento (o acelerómetro) puede capturar cualquier contenido de audio que llegue a través de los altavoces de un dispositivo cuando se usa el altavoz durante una llamada.
Debido a que los sensores de movimiento de un smartphone están siempre activados y las aplicaciones no solicitan permiso para su uso, cualquier software malicioso podría registrar las reverberaciones de audio en tiempo real; asimismo, esto puede ser grabado o enviado a una ubicación controlada por los hackers.
Los expertos en análisis de vulnerabilidades probaron este ataque en tres modelos de smartphone diferentes, el LG G3, el Samsung Galaxy Note 4 y el Samsung Galaxy S6. Estos dispositivos fueron seleccionados debido a que los altavoces y el acelerómetro están ubicados relativamente cerca uno del otro, por lo que es muy fácil detectar las vibraciones de audio.
Aunque es relativamente fácil que un sensor detecte el audio, falta el método para acceder a estos datos. Acorde a los expertos, todo depende de los permisos de las aplicaciones instaladas por el usuario. “Existe una vulnerabilidad conocida asociada a los sensores de movimiento de un smartphone, pues estos dispositivos no cuentan con ninguna restricción para la lectura de los registros de un acelerómetro; virtualmente cualquier aplicación puede acceder y leer estos datos”, afirman los expertos.
Acorde a expertos del Instituto Internacional de Seguridad Cibernética (IICS) cualquier situación en el que un usuario realice una llamada en altavoz se vuelve un escenario de ataque potencial. Además, la extracción de información no se limita a las llamadas del usuario, sino que los hackers también pueden extraer datos de cualquier aplicación que reproduzca audio, como música, videos, consultas con el asistente de Google, entre otros servicios.
USUARIOS PODRÁN DEMANDAR A COMPAÑÍAS DE TELECOMUNICACIONES EN CASO DE HACKING DE SIM
CONTENIDO ORIGINAL: https://noticiasseguridad.com/seguridad-movil/usuarios-podran-demandar-a-companias-de-telecomunicaciones-en-caso-de-hacking-de-sim/
Acorde a especialistas en ciberseguridad, cada año miles de usuarios de compañías de telecomunicaciones sufren ataques de hacking que tienen como objetivo tomar control de su número de teléfono para realizar fraudes de identidad, extorsiones, entre otros crímenes.
Un caso muy popular es el de Michael Terpin, un inversor en criptomoneda que, después de notar fallas en su servicio de telefonía móvil, llamó a la compañía sólo para descubrir que un hacker se había apoderado de su número telefónico personal usando una técnica conocida como “SIM swap”. La víctima afirma que, posteriormente, los actores de amenazas accedieron a su cuenta de Skype y engañaron a uno de sus clientes para que realizara una transferencia de criptomoneda.
El equipo de ciberseguridad de AT&T, la compañía de telecomunicaciones de Terpin, acordó con la víctima la implementación de un código de seguridad de seis dígitos que debía ser ingresado en caso de que cualquier usuario solicitara transferir el número de teléfono de Terpin a otra tarjeta SIM.
No obstante, esta medida de seguridad resultó inútil. Tiempo después del primer incidente, Terpin afirmó que, en complicidad con una tienda de AT&T, los hackers volvieron a cambiar su teléfono a otra tarjeta SIM; gracias a esto, los delincuentes lograron robar más de 20 millones de dólares en activos virtuales.
Michael Terpin decidió presentar una demanda por más de 25 millones de dólares contra AT&T. El demandante solicitó a la corte anular las cláusulas en las que la compañía renuncia a la responsabilidad por cualquier incidente de seguridad relacionado con sus servicios. Terpin considera que a los usuarios no les queda más opción que aprobar estos términos para seguir usando los servicios de telecomunicaciones.
Por su parte, la compañía solicitó al juzgado desestimar el caso, pues el demandante no fue capaz de establecer el nexo entre el hackeo de su número telefónico y el robo de la criptomoneda. En su demanda, Terpin no ofrece detalle alguno sobre las protecciones que implementó para sus activos virtuales y tampoco menciona si esta información fue de vital importancia para desplegar el ataque.
Aunque la mayoría de los cargos presentados por Terpin cuenta con un nuevo plazo de 21 días para volver a presentar su demanda; esta vez, el usuario deberá explicar completamente cómo fue robada su criptomoneda, así como las razones por las que cree que AT&T tiene un grado importante de responsabilidad en este incidente.
Acorde a expertos en ciberseguridad del Instituto Internacional de Seguridad Cibernética (IICS), esta clase de ataques enfocados en las tarjetas SIM de las víctimas son especialmente peligrosas para los miembros de la comunidad de la criptomoneda, pues la naturaleza de estos activos impide rastrear una transacción en caso de robo.
REPORTE DE VULNERABILIDAD DE EJECUCIÓN REMOTA EN VLC ERA FALSO; LOS USUARIOS DE ESTE REPRODUCTOR SE ENCUENTRAN A SALVO
CONTENIDO ORIGINAL: https://noticiasseguridad.com/vulnerabilidades/reporte-de-vulnerabilidad-de-ejecucion-remota-en-vlc-era-falso-los-usuarios-de-este-reproductor-se-encuentran-a-salvo/
Los desarrolladores del reproductor multimedia VLC se han visto envueltos por una nueva polémica. Recientemente, un supuesto informe de expertos en auditorías informáticas afirmó que este software presentaba cada vez mayores fallas de seguridad que exponían a los usuarios a actividades maliciosas como ejecución remota de código.
El reporte, revelado en días pasados, incluso afirmaba que, usando un video cargado de código malicioso, un actor de amenazas podría bloquear el reproductor multimedia o abusar de éste para ejecutar malware en el sistema objetivo.
Debido al alboroto causado por estas noticias, los desarrolladores de la herramienta de código abierto, que ha sido descargada por miles de millones de usuarios, decidieron hacer algunas declaraciones. Acorde a los expertos en auditorías informáticas, el personal detrás de VLC afirma que, si bien el error de software existe, su explotación es prácticamente imposible.
El mes pasado el Instituto Nacional de Estándares y Tecnología de E.U. (NIST) documentó una vulnerabilidad de desbordamiento de búfer presente en VLC 3.0.7.1, la versión más reciente del reproductor de medios.
A pesar de que el NIST, e incluso el CERT, registraron la vulnerabilidad y la calificaron como “crítica”, los desarrolladores afirman que la falla no es explotable pero, ¿cómo respaldan esta afirmación?
Un grupo de expertos en auditorías informáticas trató de explotar la falla usando una prueba de concepto diseñada hace algunas semanas y que requiere de un video en formato mp4 cargado de malware, encontrando que la vulnerabilidad no puede ser explotada del modo que se explica en el informe. Los expertos también intentaron el ataque en versiones anteriores de VLC, sin obtener éxito alguno.
Francois Cartegnie, uno de los desarrolladores de VLC, se mostró molesto a través de sus perfiles de redes sociales por los señalamientos de la comunidad de la ciberseguridad; “la próxima vez les sugiero verificar sus fuentes y reconsiderar sus falsas acusaciones”, declaró.
Los desarrolladores de VLC agregan que no hace falta lanzar un parche de actualización: “si usa la versión más reciente con las últimas bibliotecas no hay nada de qué preocuparse”, afirman. Acorde a expertos del Instituto Internacional de Seguridad Cibernética (IICS), la vulnerabilidad residía en la librería libebml, por lo que si los usuarios emplean versiones anteriores a 1.3.6, es probable que experimenten algunos errores como los presentados en la prueba de concepto.
NEW ANDROID ATTACK ALLOWS LISTENING TO CALLS REMOTELY
ORIGINAL CONTENT: https://www.securitynewspaper.com/2019/07/24/new-android-attack-allows-listening-to-calls-remotely/
According to experts in vulnerability testing, users of mobile devices with Android operating system face multiple threats on a daily basis. From malicious applications to exploits on the operating system, hackers are constantly developing new ways to compromise the security of these devices.
Now, there has been reported the existence of a new method for listening to phone calls known as Spearphone, which involves using the motion sensors of a smartphone to intervene the audio output of the speakers.
A group of vulnerability testing experts from the University of Alabama, Birmingham, found that any motion sensor (or accelerometer) is able to capture any audio content that arrives through a device’s speakers when using the speaker during a call.
Because a smartphone’s motion sensors are always on and apps do not request permission to use it, any malicious software could record audio reverbs in real time; this can also be recorded or sent to a location controlled by hackers.
Vulnerability testing experts tested this attack on three different smartphone models, the LG G3, the Samsung Galaxy Note 4 and the Samsung Galaxy S6. These devices were selected because the speakers and accelerometer are located relatively close to each other, making it very easy to detect audio vibrations.
Although it is relatively easy for a sensor to detect audio, the method to access this data is missing. According to the experts, it all depends on the permissions of the applications installed by the user. “There is a known vulnerability associated with the motion sensors of a smartphone, as these devices do not have any restrictions on reading the logs of an accelerometer; virtually any application can access and read this data,” the experts say.
According to experts from the International Institute of Cyber Security (IICS), any situation in which a user makes a speaker call becomes a potential attack scenario. In addition, the extraction of information is not limited to the user’s calls, but hackers can also extract data from any application that plays audio, such as music, videos, queries with the Google assistant, among other services.
NOW YOU CAN SUE YOUR TELECOMM COMPANY IN ANY SIM SWAP HACKING CASE
ORIGINAL CONTENT; https://www.securitynewspaper.com/2019/07/24/now-you-can-sue-your-telecomm-company-in-any-sim-swap-hacking-case/
According to cybersecurity specialists, every year thousands of users of telecommunications companies suffer hacking attacks that aim to take control of their phone numbers to perform identity fraud, extortion, among other felonies.
A very popular case is that of Michael Terpin, a cryptocurrency investor who, after noticing failures in his mobile phone service, called the company only to find out that a hacker had seized his personal phone number using a technique known as “SIM swap” attack. The victim claims that the threat actors subsequently accessed his Skype account and tricked one of his clients to perform a cryptocurrency transfer.
The cybersecurity team at AT&T, Terpin’s telecommunications company, agreed with the victim to implement a six-digit security code that should be entered in case any user requests to transfer the phone number from Terpin’s to another SIM card.
However, this security measure proved futile. Sometime after the first incident, Terpin claimed that, in complicity with an AT&T store, hackers swapped his phone back to another SIM card; Thanks to this, the criminals managed to steal more than $20M USD in virtual assets.
Michael Terpin decided to file a lawsuit for more than $25M USD against AT&T. The plaintiff asked the court to void the clauses in which the company waives liability for any security incidents related to its services. Terpin believes that users have no choice but to approve these terms to continue using telecommunications services.
On the other hand, the company asked the court to dismiss the case, as the plaintiff was unable to establish the link between the hacking of his phone number and the cryptocurrency theft. In his lawsuit, Terpin offers no details about the protections he implemented for his virtual assets and does not mention whether this information was vital to deploying the attack.
Although most of the charges filed by Terpin were dismissed, now he has a new 21-day deadline to resubmit his lawsuit; this time, the user will need to fully explain how the cryptocurrency was stolen, as well as the reasons why he believes AT&T has an important degree of responsibility in this incident.
According to cybersecurity experts from the International Institute of Cyber Security (IICS), these kinds of attacks focused on victims’ SIM cards are especially dangerous for members of the cryptocurrency community, as the nature of these assets prevent tracking a transaction in the event of theft or fraud.
REMOTE EXECUTION VULNERABILITY REPORT IN VLC WAS FAKE NEWS; USERS OF THIS PLAYER ARE SECURED
ORIGINAL CONTENT: https://www.securitynewspaper.com/2019/07/24/remote-execution-vulnerability-report-in-vlc-was-fake-news-users-of-this-player-are-secured/
The developers of the VLC media player have been involved into a new controversy. Recently, an alleged report by information security audit experts stated that this software had increasing security flaws that exposed users to malicious activities such as remote code execution.
The report, revealed in past days, even claimed that, using a video loaded with malicious code, a threat actor could block or abuse the media player to run malware on the target system.
Due to the uproar caused by this news, the developers of the open source tool, which has been downloaded by billions of users, decided to make some statements. According to information security audit experts, the staff behind VLC says that while software error exists, exploiting it is virtually impossible.
Last month, the U.S. National Institute of Standards and Technology (NIST) documented buffer overflow vulnerability present in VLC 3.0.7.1, the latest version of the media player.
Even though NIST, and even CERT, registered the vulnerability and rated it as “critical”, the developers claim that the flaw is not exploitable but, how do they support this claim?
A group of information security audit experts tried to exploit the flaw using a proof-of-concept designed a few weeks ago and requiring an mp4 video loaded with malware, finding that the vulnerability cannot be exploited the way it is explained in the report. Experts also attempted the attack in previous versions of VLC, without any success.
Francois Cartegnie, one of the developers of VLC, was upset through his social media profiles by the cybersecurity community’ backgrounds; “Next time I suggest you check your sources and reconsider your false accusations,” he said.
The developers of VLC add that there is no need to release an update patch: “if you use the latest version with the latest libraries there is nothing to worry about”, they say. According to experts from the International Institute of Cyber Security (IICS), the vulnerability resided in the libebml library, so if VLC uses versions earlier than 1.3.6, operators are likely to experience some bugs such as those presented in the proof of concept.
Friday 26 July 2019
INCREMENTAN ATAQUES DE RANSOMWARE CONTRA SERVICIOS EN LA NUBE; INSYNQ ES LA VÍCTIMA MÁS RECIENTE
CONTENIDO ORIGINAL: https://noticiasseguridad.com/malware-virus/incrementan-ataques-de-ransomware-contra-servicios-en-la-nube-insynq-es-la-victima-mas-reciente/
Un severo ataque de ransomware ha golpeado los sistemas de iNSYNQ, una compañía proveedora de servicios de hosting en la nube establecida en E.U. Acorde a especialistas en auditorías de sistemas, uno de los servicios más afectados por este incidente es QuickBooks, una plataforma basada en la nube que brinda software y servicios de contabilidad.
El incidente se presentó en algún momento del 16 de junio, aunque esa es toda la información que los ejecutivos de iNSYNQ revelaron en ese momento.
La compañía publicó una actualización sobre el incidente hasta la semana posterior al ataque, mencionando que: “iNSYNQ fue víctima de un ataque de ransomware perpetrado por actores de amenazas no identificados. El incidente tuvo un impacto serio en los sistemas donde se almacenan los datos de algunos de nuestros clientes, por lo que en estos momentos nos es imposible acceder a esta información”.
“Después de detectar la infección nuestro equipo de auditorías de sistemas comenzó un protocolo de contención de incidentes, que implicaba desactivar algunos de los servidores de nuestro ecosistema. Este procedimiento tiene como objetivo proteger los datos y los respaldos de información de nuestros clientes”, menciona el comunicado de la compañía.
Por su parte, Elliot Luchansky, el CEO de la compañía, informó a través de sus perfiles de redes sociales que los actores de amenazas que perpetraron el ataque emplearon una variante de ransomware conocida como MegaCortex, un nuevo desarrollo que ha estado presente en múltiples ataques en meses recientes.
Durante los últimos meses diversas firmas de ciberseguridad y expertos en auditorías de sistemas han estado analizando los ataques de MegaCortex registrados, encontrando algunas similitudes en cada incidente. Una conducta detectada por los expertos es que los atacantes comienzan pidiendo rescates de entre 2 y 3 Bitcoin, subiendo hasta 600 si las víctimas parecen ignorar la demanda de los hackers. “Si no tiene el dinero ni siquiera se tome la molestia de escribirnos; no hacemos obras de caridad”, concluye la nota de rescate enviada por los atacantes.
Las últimas actualizaciones sobre el incidente afirman que iNSYNQ decidió no pagar a los hackers y comenzar con su proceso de recuperación empleando respaldos de seguridad. Del mismo modo, especialistas del Instituto Internacional de Seguridad Cibernética (IICS) recomiendan a las compañías víctimas de esta variante de malware recurrir a sus respaldos y, de ser posible, descartar la opción de pagar el rescate, pues esto sólo beneficia a los atacantes, brindándoles recursos para continuar con sus actividades ilícitas, además de que no existe garantía alguna de que los hackers cumplirán con su parte del trato.
NUEVA VULNERABILIDAD EN NVIDIA PERMITE EJECUCIÓN REMOTA DE CÓDIGO
CONTENIDO ORIGINAL: https://noticiasseguridad.com/vulnerabilidades/nueva-vulnerabilidad-en-nvidia-permite-ejecucion-remota-de-codigo/
Una vulnerabilidad en los procesadores Tegra, del fabricante NVIDIA, expone a múltiples ciberataques a los sistemas que los utilizan, principalmente dispositivos de Internet de las Cosas (IoT). Acorde a especialistas en servicios de seguridad informática, los equipos vulnerables están expuestos al desvío de datos, secuestro y ejecución de código malicioso.
El investigador Triszka Balázs fue el encargado de descubrir la vulnerabilidad; al publicar su hallazgo, aseguró que cualquier dispositivo que use estos procesadores está expuesto a la falla. El especialista también publicó una prueba de concepto donde demuestra el método de explotación.
La vulnerabilidad fue identificada como CVE-2019-5680 y NVIDIA ya ha lanzado un parche de actualización para mitigar los riesgos. Los expertos en servicios de seguridad informática mencionan que la vulnerabilidad reside específicamente en el sistema Jetson TX1 L4T, que normalmente se implementa en dispositivos que requieren bajo consumo de energía, como drones, enrutadores, etc. Es posible que la prueba de concepto sea capaz de flashear los chips Tegra para que ejecuten Jetson TX1, con lo que el alcance de la vulnerabilidad crecería considerablemente.
La prueba de concepto desarrollada por el investigador aprovecha algo que se conoce como ataque cold-boot. Este escenario se presenta cuando los hackers pueden acceder a los datos confidenciales de un dispositivo a través de la memoria RAM debido a que el sistema no se apagó correctamente.
La vulnerabilidad recibió un puntaje de 7.7/10 en la escala del Common Vulnerability Scoring System (CVSS), lo que la convierte en una falla crítica, mencionan los especialistas en servicios de seguridad informática. La compañía no ha hecho mención alguna sobre el incidente.
Acorde a los especialistas del Instituto Internacional de Seguridad Cibernética (IICS), la forma más común de explotar una falla de este tipo es que un hacker con acceso local acceda al dispositivo y realice algún tipo de escritura en la tarjeta eMMC, que está incorporada al chip. Si el atacante no cuenta con acceso local a los dispositivos la carga maliciosa se puede entregar mediante apps fraudulentas o redirigiendo al usuario a algún sitio web desde donde pueda realizar la escritura en la tarjeta.
RANSOMWARE ATTACKS AGAINST CLOUD SERVICES INCREASE; INSYNQ IS THE MOST RECENT VICTIM
ORIGINAL CONTENT: https://www.securitynewspaper.com/2019/07/23/ransomware-attacks-against-cloud-services-increase-insynq-is-the-most-recent-victim/
A severe ransomware attack has hit the systems of iNSYNQ, a U.S.-based cloud hosting service provider; according to system audit specialists, one of the services most affected by this incident is QuickBooks, a cloud-based platform that provides accounting software and services.
The incident occurred sometime on June 16, though that’s all the information that iNSYNQ executives revealed at the time.
The company released an update on the incident until the week after the attack, mentioning that: “iNSYNQ was the victim of a ransomware attack perpetrated by unidentified threat actors. The incident had a serious impact on the systems where the data of some of our customers is stored, so at the moment it is impossible for us to access this information.”
“After detecting the infection our system audit team began an incident containment protocol, which involved disabling some of the servers in our ecosystem. This procedure aims to protect our customers’ data and information backups,” the company’s statement says.
On the other hand, Elliot Luchansky, the CEO of the company, reported through his social media profiles that the threat actors who perpetrated the attack employed a ransomware variant known as MegaCortex, a new development that has been present in multiple attacks in recent months.
Over the past few months various cybersecurity firms and system audit experts have been analyzing the recorded MegaCortex attacks, finding some similarities in each incident. One behavior detected by experts is that attackers start asking for ransoms of between 2 and 3 Bitcoin, the ransom could rise to 600 BTC if the victims ignores the hackers’ demand. “If you don’t have the money, don’t even waste your time writing to us; we don’t work for charity”, concludes the ransom note sent by the attackers.
The latest updates on the incident state that iNSYNQ decided not to pay the hackers and begin its recovery process using security backups. Similarly, specialists from the International Institute of Cyber Security (IICS) recommend that companies that are victims of this variant of malware use their backups and, if possible, discard the option to pay the ransom, as this only benefits the hackers, providing them with resources to keep up with their illicit activities, and there is no guarantee that hackers will honor their part of the deal.
NEW VULNERABILITY AT NVIDIA ALLOWS REMOTE CODE EXECUTION AND PRIVILEGE ESCALATION
ORIGINAL CONTENT: https://www.securitynewspaper.com/2019/07/23/new-vulnerability-at-nvidia-allows-remote-code-execution-and-privilege-escalation/
A new vulnerability in NVIDIA Tegra processors exposes multiple cyberattacks to systems that use them, primarily Internet of Things (IoT) devices. According to information security servicesspecialists, vulnerable equipments are exposed to data forwarding, hijacking, malicious code execution and privilege escalation.
Researcher Triszka Balázs was in charge of discovering the vulnerability; after publishing its finding, he assured that any device that uses these processors is exposed to the flaw. The specialist also published a proof of concept showing the method of exploitation.
The vulnerability was tracked as CVE-2019-5680 and NVIDIA has already released an update patch to mitigate risks. Information security services experts mention that the vulnerability lies specifically in the Jetson TX1 L4T system, which is typically deployed on devices that require low power consumption, such as drones, routers, etc. Proof of concept may be able to flash Tegra chips to run Jetson TX1, thereby significantly growing the scope of the vulnerability.
The proof of concept developed by the researcher takes advantage of something known as cold-boot attack. This scenario occurs when hackers can access sensitive data on a device through RAM because the system did not shut down properly.
The vulnerability received a score of 7.7/10 on the Common Vulnerability Scoring System(CVSS) scale, making it a critical failure, information security services specialists mentioned. The company has made no mention of the incident.
According to the specialists from the International Institute of Cyber Security (IICS), the most common way to exploit such flaw is when a local hacked gets access to the device and performs some type of writing on the eMMC card, which is incorporated into the chip. If the attacker does not have local access to the devices the malicious payload can be delivered by fraudulent apps or redirecting the user to a website from where they can write in the card.
Thursday 25 July 2019
NUEVA HERRAMIENTA DE ESPIONAJE PUEDE MONITOREAR SUS ACTIVIDADES EN FACEBOOK, GOOGLE, AMAZON, APPLE CLOUD, ETC
CONTENIDO ORIGINAL: https://noticiasseguridad.com/seguridad-movil/nueva-herramienta-de-espionaje-puede-monitorear-sus-actividades-en-facebook-google-amazon-apple-cloud-etc/
Especialistas en servicios de ciberseguridad han revelado una investigación sobre nuevas actividades de Pegasus, el spyware desarrollado por la compañía NSO, con sede en Israel, que ahora cuenta con capacidad para extraer información sobre cualquier individuo que use los servidores de compañías como Microsoft, Apple, Amazon, Facebook o Google.
Después de la publicación de este informe, portavoces de la NSO declararon: “Las firmas de seguridad han entendido mal; los productos desarrollados por NSO no cuentan con la capacidad de recopilar información o acceder a implementaciones en la nube ni a ninguno de los servicios mencionados en esta investigación”.
No obstante, los expertos en servicios de ciberseguridad sostienen que un smartphone infectado con Pegasus es capaz de proporcionar a NSO las claves de autenticación del usuario para acceder a diversos servicios en línea, incluyendo Google Drive y Facebook Messenger. “El dispositivo accede a estos servicios sin solicitar una verificación adicional o un correo electrónico de confirmación”, mencionan los expertos.
Por su parte, los portavoces de NSO dijeron que “los terroristas y delincuentes cuentan con cada vez mejores herramientas para llevar a cabo sus actividades maliciosas, lo que los pone en una situación ventajosa frente a las firmas de seguridad y agencias de inteligencia; las soluciones que ofrece NSO son completamente legales y están diseñadas para combatir este tipo de prácticas”.
Expertos en servicios de ciberseguridad afirman que Pegasus es el spyware para dispositivos móviles más sofisticado que existe en la actualidad y cuenta con amplia demanda, ya sea de agencias de inteligencia o grupos de hackers maliciosos. Las acusaciones contra el gobierno de Israel sobre la venta de esta tecnología han incrementado las tensiones políticas en esa zona del mundo.
Especialistas del Instituto Internacional de Seguridad Cibernética (IICS) mencionan que los ataques contra dispositivos móviles incrementaron considerablemente durante los últimos seis meses. El principal vector de ataque contra usuarios de smartphone es la infección de malware a través de aplicaciones maliciosas, agregan los expertos. No obstante, los principales usuarios de herramientas como Pegasus son actores estatales, apuntando principalmente a rivales políticos, activistas, prensa y grupos disidentes, por lo que se cree que los regímenes autoritarios son los principales interesados en software de espionaje.
DESPUÉS DE FLORIDA, INDIANA, CANADÁ, EL MISMO RANSOMWARE INFECTA A CHINA
CONTENIDO ORIGINAL: https://noticiasseguridad.com/malware-virus/despues-de-florida-indiana-canada-el-mismo-ransomware-infecta-a-china/
Especialistas en auditorías de sistemas han detectado una nueva variante de ransomware que ya ha logrado infectar a más de un centenar de compañías privadas e instituciones gubernamentales en Estados Unidos y, recientemente, China. Tencent, la compañía encargada del reporte, afirma que los ataques son dirigidos desde territorio asiático.
El reporte menciona que este malware de cifrado es una nueva variante del conocido ransomware Ryuk, empleado principalmente en ciberataques contra compañías de logística, tecnológicas y gobiernos locales. Según un informe del FBI, los operadores de esta campaña habrían conseguido alrededor de 5 millones de dólares en transferencias de Bitcoin.
Recientemente, el gobierno de Lake City, Florida, decidió pagar más de 400 mil dólares en Bitcoin a un grupo de hackers luego de que sus sistemas fueran infectados con esta variante de ransomware, provocando una pequeña crisis burocrática en la ciudad. Apenas unos días antes, funcionarios de Riviera Beach, también en Florida, pagaron un rescate de más de 500 mil dólares por una infección del mismo malware de cifrado.
Según los especialistas en auditorías de sistemas, el ransomware Ryuk es una variante del virus Hermes creada en algún momento de 2018. Por lo general, las infecciones de Ryuk se propagan a través de botnets o campañas de spam e ingresan en los sistemas de las víctimas explotando puertos IP no definidos.
“Al completar su instalación, el ransomware procede a eliminar cualquier archivo que pueda delatar su presencia, además de interrumpir la actividad del software antivirus del sistema infectado”, mencionan los especialistas. Finalmente, al iniciar cualquier buscador de Internet, las víctimas encontrarán la nota de los hackers donde se exige el rescate, además de las instrucciones para realizar la transferencia vía Bitcoin (en ocasiones pueden ser otras variantes de activo virtual).
Acorde a expertos en auditorías de sistemas del Instituto Internacional de Seguridad Cibernética (IICS), firmas de seguridad y agencias como el FBI han estado tras la pista de este malware desde hace al menos un año; por si fuera poco, se ha mencionado que esta variante china de Ryuk es capaz de ejecutarse en sistemas de 32 y 64 bits, lo que amplía considerablemente el alcance potencial de la infección, además se ignora hasta el número total de víctimas hasta ahora.
LA MAYOR FIRMA DE INFORMES CREDITICIOS PAGA UNA MULTA POR BRECHA DE DATOS DE 700 MDD
CONTENIDO ORIGINAL: https://noticiasseguridad.com/seguridad-informatica/la-mayor-firma-de-informes-crediticios-paga-una-multa-por-brecha-de-datos-de-700-mdd/
Especialistas en protección de datos afirman que, después de dos años, la compañía de asesoría empresarial Equifax ha llegado a un acuerdo con las agencias del gobierno estadounidense para pagar alrededor de 700 millones de dólares debido a la brecha de datos masiva ocurrida en la compañía.
El acuerdo involucra a instancias como la Comisión Federal de Comercio (FTC), la Oficina de Protección del Consumidor y fiscales estatales. Según se ha reportado, la FTC dará a conocer los detalles sobre el acuerdo en los próximos días, pues la cantidad que Equifax deberá pagar aún no ha sido completamente definida, pues la compañía aún puede alegar el monto final de la multa. También se ignora cuántas víctimas de la brecha de datos recibirán una compensación, pues hasta ahora sólo se sabe que parte del acuerdo es crear un fondo para compensar los daños a los afectados por el incidente.
Acorde a especialistas en protección de datos, hace un par de años la compañía confirmó que un grupo de actores de amenazas no identificados logró comprometer su seguridad y acceder a sus sistemas; durante el incidente, el grupo de hackers robó información confidencial de alrededor de 140 millones de clientes de Equifax, principalmente compañías con sede en países como Estados Unidos, Canadá y Reino Unido. “Pido disculpas a los consumidores y a nuestros clientes empresariales por la preocupación y frustración que este incidente les está ocasionando”, declaró en su momento Richard F. Smith, presidente de la compañía.
Investigaciones posteriores revelaron que la brecha de datos se presentó debido a una vulnerabilidad sin corregir en un software no actualizado que usaban los empleados de la compañía; el entonces director general de la compañía fue despedido por tratar de encubrir el incidente. Además de la millonaria reparación de daños, Equifax se comprometió a actualizar sus políticas de seguridad informática para prevenir incidentes similares en el futuro.
Acorde a los especialistas en protección de datos del Instituto Internacional de Seguridad Cibernética (IICS), entre todos los registros comprometidos durante este incidente destaca el robo de más de 200 mil números de tarjetas de pago, además de casi 190 mil documentos con información de identificación personal, mismos que podrían haber sido usados por los hackers maliciosos para realizar actividades ilícitas, como fraude de tarjetas o robo de identidad.
A NEW SURVEILLANCE TOOL CAN MONITOR YOUR ACTIVITIES IN FACEBOOK, AMAZON, GOOGLE AND APPLE CLOUD
ORIGINAL CONTENT: https://www.securitynewspaper.com/2019/07/22/a-new-surveillance-tool-can-monitor-your-activities-in-facebook-amazon-google-and-apple-cloud/
Cybersecurity services specialists have revealed a research into new activities of Pegasus, the spyware developed by Israel-based NSO, which now has the ability to extract information about any individual using servers of companies such as Microsoft, Apple, Amazon, Facebook or Google.
After the publication of this report, NSO spokespersons stated: “Security firms have misunderstood; NSO-developed products do not have the ability to collect information or access cloud deployments or any of the services mentioned in this research.”
However, cybersecurity services experts argue that a smartphone infected with Pegasus is able to provide NSO with the user’s authentication keys to access various online services, including Google Drive and Facebook Messenger. “The device accesses these services without requesting additional verification or a confirmation email”, the experts mention.
On the other hand, NSO spokesmen said that terrorists and criminals have increasingly evolved tools to carry out their malicious activities, putting them in an advantageous situation in front of security firms and intelligence agencies; “the solutions offered by NSO are completely legal and are designed to combat this type of practice”.
Experts in cybersecurity services claim that Pegasus is the most sophisticated mobile spywarethat exists today and is in high demand, whether from intelligence agencies or malicious hacker groups. Accusations against Israel’s government about the sale of this technology have increased political tensions in that part of the world.
Specialists from the International Institute of Cyber Security (IICS) mention that attacks on mobile devices increased considerably over the past six months. The main vector of attack against smartphone users is malware infection via malicious applications, experts add. However, the main users of tools such as Pegasus are state actors, targeting mainly political rivals, activists, the press and dissident groups, so authoritarian regimes are believed to be the main interested in spying software such as Pegasus.
AFTER FLORIDA, INDIANA & CANADA, THE SAME RANSOMWARE INFECTS CHINA
ORIGINAL CONTENT: https://www.securitynewspaper.com/2019/07/22/after-florida-indiana-canada-the-same-ransomware-infects-china/
Specialists in system audits have detected a new ransomware variant that has already managed to infect more than a hundred private companies and government institutions in the United States and, most recently, in China. Tencent, the company in charge of the report, claims that the attacks are directed from Asian territory.
The report mentions that this encryption malware is a new variant of the well-known Ryuk ransomware, mainly employed in cyberattacks against logistics & technology companies and local governments. According to an FBI report, the operators of this campaign would have obtained about $5M USD in Bitcoin transfers.
Recently, the government of Lake City, Florida, decided to pay more than $400k USD in Bitcoin to a hacker group after their systems were infected with this ransomware variant, causing a small bureaucratic crisis in the city. Just days earlier, Riviera Beach officials, also in Florida, paid a ransom of more than $500k USD for an infection of the same encryption malware.
According to system audits specialists, the Ryuk ransomware is a variant of the Hermes virus created sometime in 2018. Ryuk infections are usually spread through botnets or spam campaigns and get into victims’ systems by exploiting undefined IP ports.
“When successfully installed, the ransomware proceeds to remove any files that may give away its presence, as well as interrupt the activity of the antivirus software of the infected system”, the specialists mention. Finally, when starting any Internet browser, victims will find the note of the hackers where the ransom is demanded, in addition to the instructions to perform the transfer via Bitcoin (sometimes they may be other variants of virtual asset).
According to system audits experts from the International Institute of Cyber Security (IICS), security firms and agencies like the FBI have been on the trail of this malware for at least a year; as if that were not enough, it has been mentioned that this Chinese variant of Ryuk is capable of running on 32-bit and 64-bit systems, which greatly expands the potential scope of the infection, also, we still ignore the total number of victims so far.
BIGGEST CREDIT REPORTING FIRM PAYS $700M USD DATA BREACH FINE
ORIGINAL CONTENT: https://www.securitynewspaper.com/2019/07/22/biggest-credit-reporting-firm-pays-700m-usd-data-breach-fine/
Data protection specialists say that, after two years, business advisory firm Equifax has reached an agreement with U.S. government agencies to pay around $700M USD due to massive data breach happened in the company in 2017.
The agreement involves bodies such as the Federal Trade Commission (FTC), the Consumer Protection Bureau, and several states’ attorney generals. As reported, the FTC will release details about the agreement in the upcoming days, as the amount that Equifax will have to pay has not yet been fully defined, as the company can still refuse the final amount of the fine. It is also unknown how many victims of the data breach will receive compensation, as so far it is known that part of the agreement is to create a fund to compensate for the damage to those affected by the incident.
According to data protection specialists, a couple of years ago the company confirmed that a group of unidentified threat actors managed to compromise their security and access their systems; during the incident, the hacking group stole confidential information from around 140 million Equifax customers, mainly companies based in countries such as the United States, Canada and the United Kingdom. “I apologize to users and our business customers for the concern and frustration this incident is causing them,” Said Richard F. Smith, president of the company.
Subsequent investigations revealed that the data gap was presented due to an uncorrected vulnerability in outdated software used by company employees; the then CEO of the company was fired for trying to cover up the incident. In addition to the million-dollar damage repair, Equifax undertook to update its computer security policies to prevent similar incidents in the future.
According to the data protection specialists from the International Institute of Cyber Security (IICS), among all the records compromised during this incident stands out the theft of more than 200k payment card numbers, in addition to almost 190k personal identification information documents, which could have been used by malicious hackers to perform illegal activities, such as card fraud or identity theft.
Wednesday 24 July 2019
GOBIERNOS QUIEREN INSTALAR BACKDOOR EN TECNOLOGÍA 5G PARA VIGILAR A LOS USUARIOS
CONTENIDO ORIGINAL: https://noticiasseguridad.com/seguridad-movil/gobiernos-quieren-instalar-backdoor-en-tecnologia-5g-para-vigilar-a-los-usuarios/
Europol, la agencia del cumplimiento de la ley en la comunidad europea, al igual que múltiples firmas de ciberseguridad, aseguran que la nueva tecnología de redes 5G impedirá a los órganos policiales cualquier actividad de rastreo de actividad de dispositivos móviles, pues la tecnología con la que cuentan actualmente las agencias de policía ha quedado demasiado rezagada.
Por otra parte, los miembros de la Asociación GSMA se mostraron sorprendidos por estas declaraciones de la agencia europea, afirmando que la actividad criminal aún podrá ser rastreada después de la implementación masiva de la tecnología 5G.
En entrevista para la agencia internacional de noticias Reuters, Catherine De Bolle, directora de Europol, mencionó que la capacidad de realizar labores de vigilancia mediante el uso de redes 4G es una de las herramientas de investigación criminal más confiables actualmente, por lo que no es conveniente simplemente desechar el uso de esta tecnología.
Acorde a especialistas en ciberseguridad, las agencias de policía recurren frecuentemente al análisis de redes 4G para sus diferentes labores de combate al crimen, desde el rastreo de llamadas, hasta la localización de víctimas de secuestro.
Por otra parte, los especialistas en ciberseguridad del Instituto Internacional de Seguridad Cibernética (IICS) consideran que las redes 5G de última generación aumentan la complejidad de estas labores de monitoreo, pues los datos del tráfico móvil se desplazan por mucho más elementos del sistema de comunicación. “Ahora mismo tratamos de llegar a los mejores acuerdos para los operadores móviles, empresas tecnológicas, usuarios y autoridades”, mencionó la directora de Europol.
La GSMA reafirmó su posición, afirmando que la implementación de la tecnología 5G no impide que cualquier actividad criminal pueda ser rastreada mediante el análisis de las redes móviles. “Las agencias del cumplimiento de la ley participan en la iniciativa global 3rd Generation Partnership Proyect (3GPP), responsable de dictar los estándares para las redes 5G, incluyendo la intercepción con fines legales”.
Europol también publicó un informe mencionando algunas potenciales amenazas tecnológicas contra la aplicación de la ley en la comunidad europea, entre ellas el uso de vehículos autónomos con fines ilícitos o los sistemas de descifrado automático.
KAZAJSTÁN OBLIGA A USUARIOS DE INTERNET A INSTALAR UN CERTIFICADO PARA INTERCEPTAR EL TRÁFICO HTTPS; ¿OTROS GOBIERNOS PODRÍAN SEGUIR LA MISMA MEDIDA?
Expertos de múltiples firmas de forense digital reportan que el gobierno de Kazajstán ha comenzado a interceptar todo el tráfico HTTPS de Internet detectado dentro de su territorio.
Las compañías proveedoras de servicios de Internet que operan en el país ya fueron advertidas por el gobierno; a partir de ahora, deberán obligar a sus respectivos clientes a instalar certificados lanzados por las autoridades kazajas en todos sus navegadores y dispositivos conectados a Internet.
Los especialistas en forense digital aseguran que, una vez que el usuario instala estos certificados web, estará concediendo al gobierno acceso a su tráfico HTTPS para leer su contenido, cifrarlo y enviarlo a una ubicación desconocida. Desde hace algunas horas, los habitantes de Kazajstán que intentan acceder a Internet se encuentran con un mensaje que los redirige a un sitio web donde se detallan los pasos a seguir para instalar estos certificados raíz desarrollados por el gobierno.
Al parecer, para los proveedores de servicios de Internet no queda otra opción más que forzar a sus clientes para que instalen estos certificados, pues se trata de un decreto irrevocable del gobierno kazajo.
A través de su sitio web, el Ministerio para el Desarrollo Digital, la Innovación y la Industria Aeroespacial aclaró que esta medida solamente aplica para los usuarios de Internet que habitan en Nur-Sultan, capital de Kazajstán. No obstante, expertos en forense digital afirman que usuarios de otras regiones también han sido obligados a instalar el certificado. Algunos usuarios incluso afirmaron haber recibido un mensaje de texto que les solicitaba instalar estos certificados, reportan algunos medios locales.
Respecto a esta medida, algunos funcionarios del gobierno kazajo han mencionado que “la intención es mejorar la protección de nuestros ciudadanos, compañías privadas e instituciones públicas que usan Internet de manera cotidiana; cualquiera puede ser víctima de hackers, estafas en línea o infecciones de malware“.
Esta no es la primera ocasión en que Kazajstán trata de implementar una medida similar. Acorde a especialistas del Instituto Internacional de Seguridad Cibernética (IICS) el primer intento del gobierno para instalar de forma masiva un certificado ocurrió en diciembre de 2015; la intención era que, a partir de enero de 2016, todos los usuarios de Internet en el país contaran con este certificado instalado en sus equipos.
EJÉRCITO Y POLICÍA USARÁN GAFAS DE ROBOCOP PARA IDENTIFICAR SOSPECHOSOS USANDO RECONOCIMIENTO FACIAL
ORIGINAL CONTENT: https://noticiasseguridad.com/tecnologia/ejercito-y-policia-usaran-gafas-de-robocop-para-identificar-sospechosos-usando-reconocimiento-facial/
En el futuro cercano los soldados americanos podrán identificar a las fuerzas enemigas, sospechosos de crímenes o a personas de interés para la seguridad nacional con sólo echar un vistazo a su alrededor. Expertos en seguridad informática reportan que, usando un par de audífonos para gamer con algunas modificaciones, los soldados podrán ver a través de un dron que incluirá software de reconocimiento facial.
Además, al usar estos dispositivos, los militares podrán leer textos escritos en lengua extranjera, emplear otros drones disponibles para incrementar su campo visual y entrenar en un entorno de realidad aumentada.
Los más recientes avances de este proyecto fueron presentados recientemente; conocido como “Sistema Integrado de Incremento Visual” (IVAS, por sus siglas en inglés), este sistema incluye un par de gafas ligeras que mezcla elementos digitales en el campo visual de un soldado, mencionan los expertos en seguridad informática.
Además, en un plan que parece salir de una película de ciencia ficción, el Ejército de E.U. planea desarrollar drones minúsculos, del tamaño de insectos, que sirvan para incrementar el campo visual de las tropas. En una primera etapa de este proyecto, el Ejército comenzará a distribuir estos “drones personales de reconocimiento” para ayudar a los soldados a realizar despliegues eficaces en campo; acorde a los expertos en seguridad informática, las Fuerzas Especiales de E.U. han estado trabajando con drones al menos desde hace cuatro años.
El gobierno de E.U. considera que las condiciones necesarias para el despliegue a gran escala de esta tecnología llegarán hasta 2020, así que por ahora los militares seguirán empleando las gafas de visión nocturna convencionales para diversas tareas, como reconocimiento o defensa.
Acorde a expertos del Instituto Internacional de Seguridad Cibernética (IICS), un sargento de las Fuerzas Armadas que presenció la demostración de esta tecnología declaró que, durante el evento, un soldado acertó un tiro a unos 300 metros de distancia usando este dispositivo. El militar ha solicitado permanecer anónimo. Army Futures Command, área encargada de este proyecto, fue creada hace un par de años para implementar sustanciales mejoras tecnológicas aplicables en las campañas militares emprendidas por el gobierno de E.U.
ANTIVIRUS CON INTELIGENCIA ARTIFICIAL DE CYLANCE ES ENGAÑADO PARA EVITAR DETECCIÓN DE MALWARE
CONTENIDO ORIGINAL: https://noticiasseguridad.com/tecnologia/antivirus-con-inteligencia-artificial-de-cylance-es-enganado-para-evitar-deteccion-de-malware/
Un grupo de especialistas en seguridad de aplicaciones web diseñó un método para esquivar a la solución antivirus de Cylance, impulsada con software de inteligencia artificial. Empleando este método, los especialistas lograron engañar a este antivirus, haciéndolo pensar que variantes de malware como WannaCry son un software legítimo.
Entre los miembros de la comunidad de la ciberseguridad se cree piensa en la inteligencia artificial como la solución definitiva para la detección de programas maliciosos. Quienes apoyan esta idea afirman que su uso mejoraría significativamente las capacidades de los antivirus convencionales, pues la inteligencia artificial es capaz de encontrar versiones actualizadas de malware conocido e incluso fallas no registradas, como vulnerabilidades día cero.
La firma de seguridad BackBerry Cylance ha apostado por el desarrollo de un motor de inteligencia artificial para PROTECT, su sistema de protección anti malware de endpoint; “esta herramienta puede anticiparse a los actores maliciosos incluso por años”, mencionan los expertos en seguridad de aplicaciones web de la firma.
No obstante, en la investigación, publicada por Vice, se afirma que los expertos ya han desarrollado un método para eludir la detección de este algoritmo de aprendizaje automático. Generalmente, los hackers tratan de alterar el código fuente del malware para tratar de esquivar a los programas antivirus, en este caso, los investigadores desarrollaron un método que consiste en tomar algunas cadenas de un software legítimo y agregarlas al código del malware, con lo que éste será detectado como un programa convencional.
Acorde a los expertos en seguridad de aplicaciones web, este enfoque fue exitoso debido a que el algoritmo de aprendizaje automático de Cylance se enfoca principalmente en la detección de un software benigno, pasando por alto los elementos propios del malware. Además, este enfoque funciona incluso si el motor de Cylance concluyó previamente que el mismo archivo era malicioso, antes de que se le agregaran las cadenas de software comunes.
Los expertos probaron este ataque usando el ransomware WannaCry, conocido por el caos informático generado hace un par de años, además de la más reciente versión de SamSam, otra peligrosa variante de ransomware.
Acorde a especialistas del Instituto Internacional de Seguridad Cibernética (IICS), esta es una muestra del largo trabajo que queda por hacer en el desarrollo de la inteligencia artificial pues, aunque con el paso de los años seguramente se corregirán esta clase de vectores de ataque, esta opción seguirá sin ser una solución definitiva.
GOVERNMENTS WANT TO INSTALL BACKDOOR ON 5G TECHNOLOGY TO SPY ON USERS
ORIGINAL CONTENT: https://www.securitynewspaper.com/2019/07/19/governments-want-to-install-backdoor-on-5g-technology-to-spy-on-users/
Europol, the law enforcement agency in the European community, as well as multiple cybersecurity firms, say that new 5G network technology will prevent law enforcement agencies from any activity tracking mobile device activity, because the technology currently available to police agencies has lagged too far behind.
On the other hand, the members of the GSMA Association were surprised by these statements from the European agency, claiming that criminal activity can still be tracked after the massive implementation of 5G technology.
In an interview for the international news agency Reuters, Catherine De Bolle, director of Europol, mentioned that the ability to conduct surveillance through the use of 4G networks is one of the most reliable criminal investigative tools currently, so it is not convenient to simply discard the use of this technology.
According to cybersecurity specialists, law enforcement agencies frequently use the analysis of 4G networks for their various crime-fighting efforts, from call tracking to the location of kidnapping victims.
On the other hand, cybersecurity specialists at the International Institute of Cyber Security (IICS) believe that the latest generation 5G networks increase the complexity of these monitoring efforts, as mobile traffic data travels through much more elements of the communication system. “Right now we are trying to reach the best deals for mobile operators, technology companies, users and authorities,” the director of Europol said.
The GSMA reaffirmed its position, stating that the implementation of 5G technologies does not prevent any criminal activity from being tracked by analyzing mobile networks. “Law enforcement agencies participate in the global initiative 3rd Generation Partnership Project (3GPP), responsible for issuing standards for 5G networks, including interception for legal purposes.”
Europol also published a report mentioning some potential technological threats against law enforcement in the European community, including the use of autonomous vehicles for illicit purposes or automatic decryption systems.
