Friday 15 November 2019
UN NUEVO Y PELIGROSO BACKDOOR DISPONIBLE EN DEEP WEB
CONTENIDO ORIGINAL: https://noticiasseguridad.com/malware-virus/un-nuevo-y-peligroso-backdoor-disponible-en-deep-web/
Según reportes de expertos en forense digital, el peligroso grupo de hackers conocido como Platinum ha anunciado el lanzamiento de Titanium, un nuevo troyano backdoor que incluye avanzadas funciones para controlar una computadora infectada por completo.
En el reporte, publicado por la firma de seguridad Kaspersky Lab, se menciona que este backdoor puede esconderse de la vista de las víctimas haciéndose pasar por algún software legítimo, como quemador de CDs, controlador de sonido, o incluso como una herramienta de seguridad anti malware.
Los expertos en forense digital aseguran que el grupo Platinum, también identificado como TwoForOne, lleva al menos una década activo, inyectando código malicioso en redes gubernamentales, agencias de inteligencia, instituciones de Defensa Nacional, compañías de telecomunicaciones y otras grandes organizaciones en todo el mundo, registrando intensa actividad en las regiones sur y este de Asia.
Respecto a este nuevo software malicioso, los expertos de Kaspersky Lab aseguran que Titanium cuenta con una compleja secuencia para su entrega, descarga e instalación en el sistema objetivo, concluyendo este proceso con el despliegue del backdoor.
Titanium también es capaz de esquivar la detección de casi cualquier herramienta de seguridad, empleando cifrado, técnicas de camuflaje y entregando datos cubiertos con esteganografía a través de imágenes PNG.
Según el reporte de los especialistas en forense digital, después de que el troyano completa la infección, se entrega la carga útil final y se descargan los archivos necesarios para su ejecución usando el Servicio de Transferencia Inteligente en Segundo Plano de Windows (BITS, por sus siglas en inglés). La comunicación entre el troyano y su servidor de comando y control (C&C) se presenta mediante una herramienta cURL.
El troyano debe enviar una solicitud codificada en base 64, que contiene un ID de sistema, nombre de la computadora y número de serie del disco duro, para comenzar la secuencia de comandos del servidor: “Los comandos comenzarán a ser recibidos después de establecer la conexión”, agregan los expertos.
Entre las principales funciones de este troyano se encuentran:
- Lectura de cualquier archivo del sistema
- Envío de cualquier archivo del sistema al C&C
- Entrega y ejecución de cualquier archivo
- Herramienta de actualización
Además, este troyano cuenta con un ‘modo interactivo’ que permite a los atacantes recibir inputs del los programas de la consola y enviar los outputs al C&C.
Acorde a expertos del Instituto Internacional de Seguridad Cibernética (IICS) aún no se cuenta con evidencia de actividad de este troyano en escenarios reales, aunque el hecho de que esté disponible en deep web vuelve muy probable un ataque en el futuro cercano.
VULNERABILIDAD CRÍTICA AFECTA A LOS SISTEMAS LINUX UBUNTU Y FREEBSD
CONTENIDO ORIGINAL: https://noticiasseguridad.com/vulnerabilidades/vulnerabilidad-critica-afecta-a-los-sistemas-linux-ubuntu-y-freebsd/
Acorde a especialistas en análisis de vulnerabilidades, una biblioteca de compresión incluida de forma predeterminada en múltiples distribuciones de Linux (Ubuntu, Debian, Gentoo, Arch Linux, FreeBSD, entre otras) es afectada por una vulnerabilidad que, de ser explotada, podría permitir a un actor de amenazas ejecutar código malicioso en la computadora objetivo.
A pesar de que esta biblioteca también se incluye en sistemas Windows y macOS, la vulnerabilidad parece no afectar estas implementaciones.
La biblioteca afectada es Libarchive, creada para crear y leer archivos comprimidos. Acorde a los especialistas en análisis de vulnerabilidades, este es un kit de herramientas que cumple con múltiples funciones relacionadas con archivos de almacenamiento, también incluye otras utilidades de Linux (tar, cpio y cat), razón por la que se implementa ampliamente en más de un sistema operativo.
Apenas hace algunos días se revelaron detalles sobre una vulnerabilidad seria afectando esta biblioteca, hecho revelado junto con el lanzamiento de actualizaciones de seguridad para Libarchive.
La vulnerabilidad, identificada como CVE-2019-18408, permite a los hackers ejecutar código en el sistema de un usuario usando un archivo con el formato incorrecto. Entre los posibles escenarios de explotación, los usuarios podrían recibir archivos maliciosos de los hackers o desde aplicaciones locales usando diversos componentes de Libarchive para la descompresión de archivos.
Son muchas las utilidades de software y sistemas operativos que incluyen Libarchive de forma predeterminada, por lo que la superficie de ataque potencial es realmente considerable, incluyendo equipos de escritorio, sistemas operativos de servidor, gestores de paquetes, utilidades de seguridad, exploradores de archivos y herramientas de procesamiento multimedia como pkgutils, CMake, Pacman, Nautilus y Samba.
Los responsables de los sistemas operativos afectados por esta vulnerabilidad en Libarchive ya han lanzado parches de actualización, no obstante, se desconoce si otras aplicaciones lanzarán la actualización correspondiente. Los expertos en análisis de vulnerabilidades consideran que no todo son malas noticias, pues Windows y macOS, los sistemas operativos más populares, no son afectados por esta falla.
Especialistas en análisis de vulnerabilidades del Instituto Internacional de Seguridad Cibernética (IICS) mencionan que hasta el momento no se han reportado casos de explotación activa de esta vulnerabilidad; del mismo modo, aún no es desarrollada una prueba de concepto, aunque podría ser cuestión de horas para que esto ocurra.
SERVIDORES EN LÍNEA DE FORTNITE EN TODO EL MUNDO BAJO ATAQUE DDOS
CONTENIDO ORIGINAL: https://noticiasseguridad.com/hacking-incidentes/servidores-en-linea-de-fortnite-en-todo-el-mundo-bajo-ataque-ddos/
Cada vez se reportan más incidentes de ciberseguridad afectando a miles, o incluso a millones, de miembros de la comunidad ‘gamer’. Acorde a expertos en hacking ético, este fin de semana muchos de los fanáticos del popular videojuego de Epic Games Fortnite reportaron un supuesto ataque de denegación de servicio (DoS) contra los servidores en línea, lo que les impidió acceder a sus cuentas y conectarse a las partidas del juego.
Las quejas sobre fallas en el servicio comenzaron el 9 de noviembre a través de plataformas de redes sociales, principalmente Twitter. Poco después, una cuenta supuestamente operada por el grupo de hackers conocido como Lizard Squad se atribuyó el ataque, afirmando que estaban probando la efectividad de los bots de seguridad de Epic Games: “Fortnite está fuera de línea, tal vez a nivel mundial”, menciona uno de los tweets de los supuestos hackers.
Posteriormente, la cuenta de Lizar Squad comenzó a publicar decenas de capturas de pantallas de usuarios reportando las fallas en los servidores de Fortnite, no obstante, en la plataforma se aprecia que ningún incidente de seguridad fue detectado en los servidores de Fortnite en la fecha mencionada, lo que sólo ha confundido más a los usuarios afectados, aseguran los expertos en hacking ético.
A pesar de que la compañía no reconoció o negó el incidente, los problemas siguieron presentándose durante las horas posteriores; incluso destacados usuarios de Fortnite, como el popular ‘streamer’ de videojuegos conocido como ‘Ninja’, compartieron su preocupación por el supuesto ciberataque, ocurrido a mitad de un torneo: “¿Epic Games ya publicó un comunicado? ¿Estas partidas serán tomadas en cuenta? ¿Qué está pasando?”, publicó en su cuenta de Twitter.
Realmente se tienen pocas certezas acerca de este incidente, aunque sigue apareciendo información no confirmada mencionan los especialistas en hacking ético. Finalmente, cerca de las 5:00 PM del 9 de noviembre se publicaron nuevos tweets en la cuenta supuestamente operada por Lizard Squad, reconociendo que el equipo de seguridad de Epic Games los había superado en esta ocasión: “No pudimos vencer a estos sujetos; bien jugado, equipo de seguridad de Epic Games”, menciona la publicación.
Al parecer todo ha vuelto a la normalidad, aunque muchos usuarios siguen preocupados por la posibilidad de que se presenten nuevos intentos de hacking contra los servidores de Fortnite, especialmente en temporada de torneos. Por otra parte, Epic Games sigue sin publicar un pronunciamiento oficial sobre el incidente.
Cuando se trata de ataques contra la infraestructura de TI de algún videojuego en línea, el primer posible responsable que viene a la mente de la comunidad de la ciberseguridad es el grupo Lizard Squad. Acorde a especialistas en hacking ético del Instituto Internacional de Seguridad Cibernética (IICS), desde su aparición hace alrededor de cinco años, este grupo se especializa en ataques a plataformas de juegos en línea, como los incidentes ocurridos en EA Games, Destiny, Xbox Live, entre otras. Es poco lo que se conoce sobre Lizard Squad, sus miembros y en especial sobre sus motivaciones; muchos expertos en seguridad incluso creen que estos hackers despliegan estos ataques simplemente porque pueden.
IMPORTANTE COMPAÑÍA DE SERVICIOS EN LA NUBE SUFRE INFECCIÓN DE RANSOMWARE
CONTENIDO ORIGINAL: https://noticiasseguridad.com/hacking-incidentes/importante-compania-de-servicios-en-la-nube-sufre-infeccion-de-ransomware/
La semana apenas comienza y ya se reportan nuevos incidentes de seguridad afectando importantes compañías tecnológicas. Según mencionan especialistas en seguridad de aplicaciones web, SmarterASP.NET, proveedor de servicios de hosting ASP.NET, fue víctima de un serio ataque de ransomware que podría afectar a sus más de 400 mil clientes.
Esta es la tercera ocasión en este año que una importante compañía de web hosting es afectada por una infección de malware de cifrado, indicador claro de deficientes medidas de seguridad y evolución de los métodos empleados por los actores de amenazas.
A través de un mensaje publicado en su sitio web la compañía reconoció el incidente y afirmó que ya había comenzado a trabajar en el restablecimiento de todos sus sistemas, mencionan los expertos en seguridad de aplicaciones web. No obstante, aún se desconoce si los ejecutivos de SmarterASP.NET accedieron a pagar el rescate a los hackers o si la información será recuperada a partir de los respaldos de la compañía. “Su
cuenta está bajo ataque; los perpetradores han cifrado todos sus datos. Nos encontramos trabajando con expertos para recuperar su información y asegurar que esto no vuelva a suceder”, menciona el comunicado.
Hasta ahora la compañía no ha brindado mayores detalles sobre el incidente y su manejo, incluso se ha inhabilitado su línea telefónica.
Los atacantes no sólo comprometieron la información de los clientes de este servicio, sino que también se tomaron el tiempo de atacar a la compañía, desconectando su página de internet, dejándola inaccesible durante todo el sábado. Finalmente, el equipo de seguridad de aplicaciones web de SmarterASP.NET recuperó el control de su sitio web el domingo por la mañana.
Respecto a la variante de ransomware empleada por los responsables de este ciberataque, un usuario anónimo publicó en Twitter algunas capturas de pantalla de un equipo comprometido, donde puede apreciarse que la información fue cifrada con una versión actualizada del ransomware Snatch, que añade a los archivos infectados la extensión .kjhbx.
Hasta el momento la compañía no parece haber avanzado mucho en el proceso de recuperación, pues sigue siendo considerable la cantidad de usuarios que reportan que el acceso a sus cuentas y datos sigue bloqueado, incluyendo archivos en sus sitios web y bases de datos back end.
El incidente ha golpeado de forma muy seria a muchos de los usuarios de este servicio, ya que la mayoría de ellos emplean SmarterASP.NET como back end de aplicaciones web para sincronizar o respaldar información importante. Acorde a los expertos en seguridad de aplicaciones web, ya que el ransomware también afectó a estas bases de datos, es imposible para los administradores de sitios web trasladar sus operaciones a
una implementación de TI alternativa.
En los meses pasados, expertos del Instituto Internacional de Seguridad Cibernética (IICS) reportaron el ataque a otras dos importantes compañías de hosting. El primer incidente ocurrió en A2 Hosting en mayo, donde los hackers usaron el ransomware GlobeImposter. La siguiente víctima fue iNSYNQ, que fue infectada en julio pasado con una variante del ransomware MegaCortex, lo que impidió el funcionamiento correcto de los sistemas de la compañía durante casi dos meses; se prevé que el tiempo de recuperación para SmarterASP.NET sea similar.
A NEW AND DANGEROUS BACKDOOR AVAILABLE ON DEEP WEB
ORIGINAL CONTENT: https://www.securitynewspaper.com/2019/11/11/a-new-and-dangerous-backdoor-available-on-deep-web/
According to reports from digital forensics experts, the dangerous hacker group known as Platinum has announced the release of Titanium, a new backdoor Trojan that includes advanced features to control an infected computer completely.
The report, published by security firm Kaspersky Lab, mentions that this backdoor can hide from the sight of victims posing as some legitimate software, such as CD burner, sound controller, or even as an anti-malware security tool.
Digital forensics experts say Platinum, also identified as TwoForOne, has been active for at least a decade, injecting malicious code into government networks, intelligence agencies, National Defense institutions, telecommunications companies and other large organizations around the world, registering intense activity in the south and east regions of Asia.
Regarding this new malware, Kaspersky Lab experts ensure that Titanium has a complex sequence for its delivery, download and installation on the target system, concluding this process with the deployment of the backdoor.
Titanium is also able to bypass the detection of almost any security tool, employing encryption, camouflage techniques and delivering steganography-covered data via PNG images.
According to the report of the digital forensics specialists, after the Trojan completes the infection, the final payload is delivered and the files necessary for its execution are downloaded using the Windows Background Intelligent Transfer Service (BITS). Communication between the Trojan and its command and control (C&C) server is presented by a cURL tool.
The Trojan must send a base 64-encoded request, which contains a system ID, computer name, and hard drive serial number, to begin the server script: “The commands will begin to be received after setting the connection,” the experts added.
Among the main functions of this Trojan are:
- Reading any system file
- Sending any file from the system to C&C
- Delivery and execution of any file
- Updater tool
In addition, this Trojan has an ‘interactive mode’ that allows attackers to receive inputs from the console programs and send the outputs to the C&C.
According to experts from the International Institute of Cyber Security (IICS) there is still no evidence of this Trojan’s activity in the wild, although the fact that it is available on deep web makes an attack very likely in the near future.
CRITICAL VULNERABILITY AFFECTS LINUX UBUNTU AND FREEBSD SYSTEMS
ORIGINAL CONTENT: https://www.securitynewspaper.com/2019/11/11/critical-vulnerability-affects-linux-ubuntu-and-freebsd-systems/
According to vulnerability testing specialists, a compression library included by default in multiple Linux distributions (Ubuntu, Debian, Gentoo, Arch Linux and FreeBSD among others) is affected by a serious vulnerability that, if exploited, could allow a threat actor to execute malicious code on the targeted computer.
Although this library is also included on Windows and macOS systems, the vulnerability does not appear to affect these deployments.
The affected library is Libarchive, designed to create and read compressed files. According to vulnerability testing specialists, this is a toolkit that fulfills multiple functions related to storage files, also includes other Linux utilities (tar, cpio and cat), which is why it is implemented extensively on more than one operating system.
Just a few days ago details were revealed about a serious vulnerability affecting this library, revealed along with the release of security updates for Libarchive.
The vulnerability, tracked as CVE-2019-18408, allows hackers to execute code on a user’s system with just an incorrectly formatted file. Among the possible exploit scenarios, users could receive malicious files from hackers or from local applications using various Libarchive components for file decompression.
There are many software utilities and operating systems that include Libarchive by default, so the potential attack surface is really considerable, including desktops, server operating systems, server managers, packages, security utilities, file browsers, and media processing tools such as pkgutils, CMake, Pacman, Nautilus, and Samba.
Those responsible for operating systems affected by this vulnerability in Libarchive have already released update patches; however, it is not known whether other applications will release the corresponding update. Vulnerability testing experts consider that not everything is bad news, as Windows and macOS, the most popular operating systems, are not affected by this flaw.
Specialists in vulnerability testing from the International Institute of Cyber Security (IICS) mention that so far there have been no reports of active exploitation of this vulnerability; similarly, a proof of concept is not yet developed, although it could be a matter of hours for this to happen.A
FORTNITE ONLINE SERVERS WORLDWIDE UNDER DDOS ATTACK
ORIGINAL CONTENT: https://www.securitynewspaper.com/2019/11/11/fortnite-online-servers-worldwide-under-ddos-attack/
Increasingly, cybersecurity incidents are affecting thousands, or even millions, of members of the gamer community. According to experts in ethical hacking, this weekend many fans of the popular Epic Games videogame Fortnite reported an alleged denial of service (DoS) attack against its online servers, preventing them from accessing their accounts and connecting to their matches.
Complaints about service failures began on November 9 through social media platforms, mainly Twitter. Soon after, an account allegedly operated by the hacker group known as Lizard Squad claimed the attack was their responsibility, affirming they were testing the effectiveness of Epic Games security bots: “Fortnite is offline, hopefully worldwide,” mentions one of the tweets of the alleged hackers.
Subsequently, The Lizard Squad account began posting dozens of screenshots of users reporting failures on Fortnite servers; however, the platform shows that no security incidents were detected on Fortnite online infrastructure on the aforementioned date, which has only brought more confusion for affected users, mentioned the experts in ethical hacking.
Although the company did not admitted or denied the incident, the problems continued to arise during the following hours; even prominent Fortnite users, such as the popular video game streamer known as ‘Ninja’, shared their concern about the alleged cyberattack, which occurred in the middle of a tournament: “Does Epic Games release a statement? Will these games count? What’s going on?” he posted on his Twitter account.
There are really few certainties about this incident, although unconfirmed information still appears, as mentioned by ethical hacking specialists. Finally, around 5:00 PM on 9 November, new tweets were posted in the account allegedly operated by Lizard Squad, recognizing that the Epic Games security team had surpassed them on this occasion: “We couldn’t beat these guys; goof game, Epic Games security team,” the post mentions.
It seems that everything has returned to normal, although many users remain concerned about the possibility of further hacking attempts against Fortnite servers, especially in tournament season. On the other hand, Epic Games still does not publish an official statement on the incident.
When it comes to attacks on the IT infrastructure of an online video game, the first possible perpetrator that comes to the mind of the cybersecurity community is the Lizard Squad group. According to ethical hacking specialists from the International Institute of Cyber Security (IICS), since its appearance about five years ago, this group specializes in attacks against online gaming platforms, such as incidents at EA Games, Destiny, Xbox Live, among others. Little is known about Lizard Squad, its members, and especially its motivations; many security experts even believe that these hackers deploy these attacks simply because they can.
A MAJOR CLOUD SERVICES COMPANY SUFFERS MASSIVE RANSOMWARE INFECTION
ORIGINAL CONTENT: https://www.securitynewspaper.com/2019/11/11/a-major-cloud-services-company-suffers-massive-ransomware-infection/
The week is just beginning and new security incidents affecting major technology companies have already being reported. According to web application security specialists, SmarterASP.NET, an ASP.NET hosting service provider, was the victim of a serious ransomware attack that could affect its more than 400k customers.
This is the third time this year that a major web hosting company is affected by an encryption malware infection, clear indicator of poor security measures and evolution of the methods employed by threat actors.
Through a message posted on its website the company acknowledged the incident and claimed that it had already begun work on resetting all its systems, as mentioned by web application security experts. However, it is still unknown whether SmarterASP.NET executives agreed to pay the ransom to hackers or instead the information will be recovered from the company’s backups. “Your account is under attack; the perpetrators have encrypted all your data. We are working with experts to retrieve your information and ensure that this does not happen again,” the statement says.
So far the company has not provided further details about the incident and its management, even its telephone line has been disabled.
The attackers not only compromised the customer information of this service, but also took the time to attack the company, disconnecting its website, leaving it inaccessible throughout Saturday. Finally, SmarterASP.NET web application security team regained control of their website on Sunday morning.
Regarding the ransomware variant used by those responsible for this cyberattack, an anonymous user posted on Twitter some screenshots of a compromised computer, where it can be seen that the information was encrypted with an updated version of the Snatch ransomware, which adds the .kjhbx extension to infected files.
So far the company does not seem to have made much progress in the recovery process, as the number of users reporting that access to their accounts and data remains blocked, including files on their websites and back-end databases, it’s still large.
The incident has hit many of the users of this service very seriously, as most of them use SmarterASP.NET as a back end of web applications to synchronize or back up important information. According to web application security experts, since ransomware also affected these databases, it is impossible for website administrators to move their operations to an alternative IT implementation.
In the past few months, experts from the International Institute of Cyber Security (IICS) reported the attack on two other major hosting companies. The first incident occurred at A2 Hosting in May, where hackers used the GlobeImposter ransomware. The next victim was iNSYNQ, which was infected last July with a variant of the MegaCortex ransomware, which prevented the proper functioning of the company’s systems for almost two months; recovery time for SmarterASP.NET is expected to be similar.
Thursday 14 November 2019
EL DEPARTAMENTO DE VEHÍCULOS MOTORIZADOS DE CALIFORNIA EXPONE INFORMACIÓN PERSONAL DE LOS CONDUCTORES
CONTENIDO ORIGINAL: https://noticiasseguridad.com/hacking-incidentes/el-departamento-de-vehiculos-motorizados-de-california-expone-informacion-personal-de-los-conductores/
Según reportan especialistas en seguridad informática, el Departamento de Vehículos Motorizados de California (DMV) sufrió una brecha de datos que expuso los números de Seguridad Social de miles de conductores de la ciudad; el incidente habría brindado a otras agencias gubernamentales acceso indebido a esta información.
Este incidente es especialmente grave para los migrantes ilegales que residen en el estado, pues en los registros filtrados se especifica qué conductores no cuentan con número de seguridad social, lo que delataría su estatus migratorio. El gobierno de la ciudad asegura que no hay forma de que las agencias de migración tengan acceso a estos registros.
No obstante, el gobierno de California destacó que algunas agencias del cumplimiento de la ley sí han accedido a esta información como parte de investigaciones sobre actividades ilícitas.
Acorde a los especialistas en seguridad informática, entre las agencias que habrían accedido a esta información están el IRS, la Administración para Pequeños Negocios y las oficinas de los fiscales de distrito de San Diego y Santa Clara; los especialistas no han podido determinar si alguna agencia de migración obtuvo acceso a esta información.
Por su parte, el DMV asegura que la información fue expuesta debido a un error interno, no a un ciberataque contra sus sistemas. Además, el Departamento afirma que el acceso no autorizado fue clausurado inmediatamente después de que fue detectado, la mañana del pasado 2 de agosto.
Se calcula que la información de poco más de 3 mil 200 conductores fue expuesta durante este incidente; el Departamento destaca que todos los usuarios afectados ya han sido notificados. “La seguridad de la información personal es vital para DMV; ya han sido implementadas las medidas necesarias para corregir esta falla; lamentamos profundamente los inconvenientes que este problema pueda causar”, menciona un comunicado del Departamento.
Finalmente, Anita Gore, portavoz del DMV, declaró ante diversos medios: “Queremos enfatizar el hecho de que ningún otro registro personal fue expuesto durante este incidente; el DMV comenzó de inmediato un proceso de corrección de incidentes para contener el alcance de la filtración”.
A pesar de que el DMV afirma que no fue objeto de un ciberataque, especialistas del Instituto Internacional de Seguridad Cibernética (IICS) consideran pertinente que la organización realice una revisión exhaustiva de sus políticas y prácticas de seguridad informática, con el fin de garantizar que esta clase de errores no se presenten nuevamente.
ATAQUE DE RANSOMWARE INFECTA 30 MIL COMPUTADORAS EN ESCUELAS DE NUEVO MÉXICO
CONTENIDO ORIGINAL: https://noticiasseguridad.com/hacking-incidentes/ataque-de-ransomware-infecta-30-mil-computadoras-en-escuelas-de-nuevo-mexico/
Un serio incidente ha impactado los sistemas informáticos de un distrito escolar de E.U. Acorde a especialistas en forense digital, un ataque de ransomware ha infectado alrededor de 30 mil computadoras pertenecientes al distrito escolar de Las Cruces, Nuevo México, E.U. El incidente provocó el cierre de servidores y dispositivos de Internet en todo el distrito.
Durante una conferencia de prensa, la Superintendente Karen Trujillo reveló que el malware logró comprometer estas computadoras durante la madrugada del pasado 29 de octubre; horas después, el personal de TI del distrito recibió la instrucción de clausurar las operaciones en todos los servidores y de desconectar los equipos comprometidos de Internet.
Como recordará, un ransomware es un software malicioso creado para bloquear el acceso a un dispositivo y a los archivos almacenados. Para recuperar este acceso, las víctimas deben pagar un rescate a los actores de amenazas. Los métodos de infección de ransomware más comunes son el envío de emails maliciosos y el uso de páginas web plagadas de malware, mencionan los expertos en forense digital.
Al ser cuestionado sobre el proceso de recuperación del incidente, el director de TI del distrito, Matt Dawkins, afirmó que Las Cruces está colaborando con firmas externas para implementar un plan de recuperación que ha demostrado ser exitoso en otros ataques de ransomware. Al concluir las primeras investigaciones sobre el ataque, Dawkins mencionó que unos 30 mil dispositivos deberán ser “limpiados”; este proceso incluye el formateo de discos duros, la reinstalación de los sistemas operativos y software complementario.
Un comunicado posterior del equipo de forense digital del distrito también mencionó que toda la infraestructura de TI de Las Cruces será sometida a auditorías de seguridad y actualizaciones de hardware para completar el proceso de recuperación y poder poner en línea nuevamente los sistemas.
Respecto al tiempo que tomará el proceso de recuperación, las autoridades del distrito decidieron no hacer una estimación: “Podrían aparecer ciertos contratiempos, debemos detenernos y atender todas las posibles fallas que se presenten; es difícil decir cuánto tiempo tomará”, añadió Dawkins.
Al igual que con el tiempo de recuperación, se desconocen detalles sobre los posibles costos, aunque la superintendente Trujillo mencionó que una parte considerable de estos gastos serán cubiertos por un fondo federal reservado para esta clase de incidentes.
Aunque la mayoría de las computadoras del distrito fueron impactadas, las autoridades mencionaron que fueron habilitados dos equipos para acceder a los sistemas de información de forma segura, por lo que la clausura de actividades no fue total, y el personal académico, administrativo y de salud en todas las escuelas del distrito trabaja de forma “casi normal”. El personal también ha recurrido a realizar algunos trámites y procesos a mano.
Especialistas en forense digital del Instituto Internacional de Seguridad Cibernética (IICS) mencionan que los distritos escolares, al igual que otras organizaciones públicas, se han convertido en uno de los nuevos objetivos de ciberataques. La principal recomendación para cualquier organización es establecer programas de concientización para prevenir las infecciones de ransomware y cualquier otro tipo de programa malicioso. Los costos de la prevención son mucho menores a los costos de recuperación de cualquier incidente de ciberseguridad.
PWN2OWN 2019: HACKERS GANAN 200 MIL USD POR ENCONTRAR VULNERABILIDADES EN TELÉFONOS, TELEVISORES Y ALTAVOCES INTELIGENTES
CONTENIDO ORIGINAL: https://noticiasseguridad.com/tecnologia/pwn2own-2019-hackers-ganan-200-mil-usd-por-encontrar-vulnerabilidades-en-telefonos-televisores-y-altavoces-inteligentes/
De nueva cuenta la ciudad de Tokio, Japón, es sede del evento de hacking ético Pwn2Own, organizado por Zero Day Initiative y, en esta ocasión, el equipo de hackers Fluoracetate ha arrasado en la competencia. Al pasar dos días del evento, los dos expertos que forman este equipo acumularon más de 140 mil dólares en recompensas por encontrar y explotar vulnerabilidades en dispositivos móviles de fabricantes como Xiaomi, Samsung, entre otros.
El equipo de hackers ganador de este año, integrado por Amat Cama y Richard Zhu, comenzó su participación en el evento demostrando una explotación en una smart TV Sony X800G, obteniendo 15 mil dólares.
Posteriormente, los expertos en hacking ético tomaron control de un Amazon Echo Show 5 gracias a un desbordamiento de enteros en JavaScript, recibiendo un premio de 60 mil dólares. Otros dispositivos hackeados por Fluoracetate incluyen un Samsung smart TV Q60, el smartphone Xiaomi Mi9 y el Samsung Galaxy S10.
Estos hackers han tomado una amplia ventaja respecto al resto de los participantes de Pwn2Own 2019, por lo que se espera que ganen por tercer año consecutivo el título de Masters of Pwn, nombre del torneo de hacking.
El año anterior, Fluoracetate generó más de 80 mil dólares por el hallazgo de vulnerabilidades en dispositivos de última generación, como el iPhone X de Apple, el navegador móvil de los smartphones de Xiaomi, entre otros dispositivos, proclamándose ganadores de Pwn2Own 2018.
Aunque los resultados del evento fueron abrumadoramente favorables para Fluoracetate, el resto de los expertos en hacking ético que participaron también realizaron hallazgos importantes. El segundo lugar en la clasificación fue para F-Secure Labs, equipo que acumuló más de 70 mil dólares en recompensas por sus hallazgos; por otra parte, Flashback, equipo debutante en Pwn2Own, logró el tercer lugar, con cerca de 50 mil dólares.
En total, se entregaron más de 300 mil dólares a los expertos en hacking ético participantes; los reportes sobre las vulnerabilidades encontradas serán enviados a los fabricantes de los dispositivos explotados para que sean corregidos en un plazo no mayor a 90 días después del informe.
Acorde a los especialistas en hacking ético del Instituto Internacional de Seguridad Cibernética (IICS), este tipo de eventos incentivan la participación de diversos miembros de la comunidad de la ciberseguridad, ya sean firmas establecidas o investigadores independientes, en el combate a la explotación de vulnerabilidades en hardware y software de uso común.
No obstante, también es un reflejo de los múltiples inconvenientes de seguridad presentes en toda clase de dispositivos con conexión a Internet, por lo que es importante que sean los hackers éticos quienes encuentren estas fallas antes de que los actores de amenaza lo hagan.
CALIFORNIA DEPARTMENT OF MOTOR VEHICLES EXPOSES DRIVERS’ PERSONAL INFORMATION
ORIGINAL CONTENT: https://ift.tt/36IH0xv
According to information security specialists, the California Department of Motor Vehicles (DMV) suffered a data breach that exposed the Social Security numbers of thousands of city drivers; the incident would have given other government agencies undue access to this information.
This incident is particularly serious for illegal migrants residing in the state, as the leaked records specify which drivers do not have a social security number, which would reveal their immigration status. The city government says there is no way for migration agencies to have access to these records.
However, the California government noted that some law enforcement agencies have accessed this information as part of investigations into illegal activities.
As per information security specialists, agencies that would have accessed this information include the IRS, the Small Business Administration, and the offices of San Diego and Santa Clara district attorneys; specialists have been unable to determine whether any migration agencies gained access to this information.
On the other hand, the DMV claims that the information was exposed due to an internal error, not as a result of a cyberattack against its IT systems. In addition, the Department asserts that unauthorized access was shut down immediately after it was detected, on the morning of last August 2.
It is estimated that the information of just over 3,200 drivers was exposed during this incident; the Department stresses that all affected users have already been notified. “The security of personal information is vital for DMV; the necessary measures have already been implemented to correct this failure; we deeply regret the inconveniences this problem may have caused,” says a statement from the Department.
Ultimately, Anita Gore, a spokesperson for the DMV, told before local media: “We want to emphasize the fact that no other personal record was exposed during this incident; the DMV immediately began an incident correction process to contain the scope of the leak”.
Although the DMV claims that it was not the target of a cyberattack, specialists from the International Institute of Cyber Security (IICS) consider it relevant that the organization conduct a thorough review of its information security policies and practices, to ensure that these kinds of errors won’t happen again.
RANSOMWARE ATTACK INFECTS 30,000 COMPUTERS IN NEW MEXICO SCHOOLS
ORIGINAL CONTENT: https://www.securitynewspaper.com/2019/11/08/ransomware-attack-infects-30000-computers-in-new-mexico-schools/
A serious incident has compromised the computer systems of a US school district. According to digital forensics specialists, a ransomware attack has infected about 30,000 computers belonging to the Las Cruces school district, New Mexico, US. The incident caused servers and Internet devices to shut down throughout the district.
During a press conference, Superintendent Karen Trujillo revealed that the malware managed to compromise these computers during the early hours of October 29; hours later, district IT staff were instructed to shut down operations on all servers and disconnect compromised computers from the Internet.
As you may remember, a ransomware is malicious software created to block access to a device and stored files. To regain this access, victims must pay a ransom to threat actors. The most common methods of ransomware infection are sending malicious emails and using malware-plagued web pages, mentioned by digital forensics experts.
When questioned about the incident recovery process, the district’s IT director, Matt Dawkins, stated that Las Cruces is collaborating with external cybersecurity firms to implement a recovery plan that has proven successful in other ransomware attacks. At the conclusion of the first investigations into the attack, Dawkins mentioned that about 30,000 devices should be “cleaned”; this process includes formatting hard drives, reinstalling operating systems and complementary software.
A subsequent release from the district’s digital forensics team also mentioned that the entire IT infrastructure of Las Cruces will be subject to security audits and hardware upgrades to complete the recovery process and be able to put online systems again.
Regarding the time it will take the recovery process, the district authorities decided not to make an estimate: “Certain setbacks may appear, we must stop and address all possible failures that arise; it’s hard to say how long it’s going to take,” Dawkins added.
As with recovery time, details about potential costs are unknown, although Superintendent Trujillo mentioned that a significant portion of these expenses will be covered by a federal fund reserved for such incidents.
Although most of the district’s computers were impacted, the authorities mentioned that two teams were enabled to access information systems securely, so the closure of activities was not complete, and academic staff, in all schools in the district, it works in an “almost normal” manner. Schools staffs have also resorted to some paperwork and processes by hand.
International Institute of Cyber Security (IICS) digital forensics specialists mention that school districts, like other public organizations, have become one of the new targets for cyberattacks. The main recommendation for any organization is to establish awareness programs to prevent ransomware infections and any other type of malicious program. The costs of prevention are way lower than the costs of recovering from any cybersecurity incident.
PWN2OWN 2019: HACKERS EARN $200K USD FOR FINDING VULNERABILITIES IN SMARTPHONES, TVS AND SMART SPEAKERS
ORIGINAL CONTENT: https://www.securitynewspaper.com/2019/11/08/pwn2own-2019-hackers-earn-200k-usd-for-finding-vulnerabilities-in-smartphones-tvs-and-smart-speakers/
Again, the city of Tokyo, Japan is home to the Pwn2Own ethical hacking event, organized by the Zero Day Initiative and, this time, the Fluoracetate hacker team has swept the competition. After two days of the event, the two experts who make up this team accumulated more than $140k USD in rewards for finding and exploiting vulnerabilities in mobile devices of manufacturers such as Xiaomi, Samsung, among others.
This year’s winning hacker team, made up of Amat Cama and Richard Zhu, began their participation in the event by demonstrating an exploit on a Sony X800G smart TV, earning $15k USD.
Subsequently, ethical hacking experts took control of an Amazon Echo Show 5 smart speaker thanks to an overflow of integers in JavaScript, receiving a prize of $60k USD. Other devices hacked by Fluoracetate include a Samsung Q60 smart TV, Xiaomi Mi9 smartphone and Samsung Galaxy S10.
These hackers have taken a wide advantage over the rest of the participants of Pwn2Own 2019, so they are expected to win the Masters of Pwn title, the name of the hacking tournament, for the third year in a row.
The previous year, Fluoracetate generated more than $80k USD from finding vulnerabilities in next-generation devices, such as Apple’s iPhone X, Xiaomi’s smartphone mobile browser, among other devices, claiming as Pwn2Own 2018 winners.
Although the results of the event were overwhelmingly favorable for Fluoracetate, the rest of the ethical hacking experts who participated also made important findings. The second place in the rankings was for F-Secure Labs, a team that amassed more than $70k USD in rewards for their findings; on the other hand, Flashback, a debuting team at Pwn2Own, took third place, with about $50k USD.
In total, more than $300,000 were given to participating ethical hacking experts; reports on the vulnerabilities found will be sent to the manufacturers of the exploited devices to be corrected within 90 days of the report.
According to the ethical hacking specialists of the International Institute of Cyber Security (IICS), such events encourage the participation of various members of the cybersecurity community, whether established firms or independent researchers combating the exploitation of vulnerabilities in commonly used hardware and software.
However, it is also a reflection of the multiple security drawbacks present on all kinds of Internet-connected devices, so it is important that ethical hackers encounter these flaws before the threat actors do so.
Wednesday 13 November 2019
VULNERABILIDAD CRÍTICA EN LOS TIMBRES DE LA FIRMA RING; SE FILTRA INFORMACIÓN DE LA RED WIFI DE LOS USUARIOS
CONTENIDO ORIGINAL: https://noticiasseguridad.com/vulnerabilidades/vulnerabilidad-critica-en-los-timbres-de-la-firma-ring-se-filtra-informacion-de-la-red-wifi-de-los-usuarios/
Aunque las personas compran los timbres con cámara de video de la compañía Ring esperando incrementar la seguridad de sus hogares, una falla en el software de estos dispositivos podría exponer a sus usuarios a un nuevo riesgo de seguridad. Acorde a expertos en hacking ético, la falla permitiría a un actor de amenazas extraer el nombre de usuario y la contraseña WiFi del usuario del timbre.
Acorde al reporte de Bitdefender, firma de seguridad encargada de reportar la vulnerabilidad, la compañía matriz de Ring fue informada sobre esta falla en junio pasado; la vulnerabilidad fue corregida en la actualización de Ring correspondiente al mes de septiembre.
Cabe recordar que Ring es una compañía dedicada a la fabricación de timbres con cámara de vigilancia; hace casi dos años, esta empresa fue adquirida por Amazon por casi 850 millones de dólares. En la actualidad, estos sistemas de vigilancia están vinculados a al menos 580 departamentos de policía en Estados Unidos, integrando una red de vigilancia vecinal, reportan los expertos en hacking ético.
Explicada de esta forma, la instalación de dispositivos de Ring en los hogares parecería una buena idea, aunque no todos creen que su uso sea recomendable. Especialistas en temas de privacidad han expresado su preocupación por el hecho de que estos sistemas se conecten de forma directa con las estaciones de policía, además de la obvia exposición a los actores de amenazas.
Una preocupación adicional es que esta no es la primera ocasión en la que se encuentra una vulnerabilidad en Ring. Hace un par de años, expertos de la firma Pen Ten Partners descubrieron una serie de fallas en estos dispositivos que, de ser explotadas, permitían a los hackers extraer las contraseñas de la red WiFi a la que el timbre se conecta. Otros trabajos de investigación han demostrado que es posible extraer imágenes en tiempo real de estos dispositivos.
Los expertos en hacking ético mencionan que la vulnerabilidad reside en la conexión entre la cámara de video y la app de Ring. Al configurar un dispositivo por primera vez, la app debe enviar un registro de inicio de sesión desde la red WiFi al timbre. Debido a que esta información es enviada a través de una red sin cifrado, cualquier hacker podría realizar un ataque Man-in-the-Middle (MiTM) para interceptar los datos enviados. Es importante destacar que el atacante debe encontrarse en una ubicación cercana a la señal de la red WiFi objetivo.
Después de que se revelara el más reciente problema de seguridad en Ring, la compañía publicó un comunicado: “La seguridad de nuestros dispositivos y la confianza de nuestros usuarios son lo más importante para nosotros. Queremos informar que se lanzó una actualización de seguridad para abordar la falla reportada; el problema ya ha sido corregido”.
Debido a sus características, este ataque sólo puede ocurrir durante el proceso de configuración del dispositivo, mencionan especialistas en hacking ético del Instituto Internacional de Seguridad Cibernética (IICS). No obstante, un hacker también podría enviar mensajes falsos a un usuario para tratar de engañarlo y hacer que configure el timbre desde cero nuevamente, aunque la complejidad de este escenario aumenta de forma considerable.
ENCUENTRAN BACKDOOR EN PLCS DE SIEMENS. INFRAESTRUCTURA CRÍTICA Y REDES SCADA AFECTADAS
CONTENIDO ORIGINAL: https://noticiasseguridad.com/tecnologia/encuentran-backdoor-en-plcs-de-siemens-infraestructura-critica-y-redes-scada-afectadas/
Un equipo de especialistas en seguridad de aplicaciones web de la Universidad Ruhr en Bochum, Alemania, ha descubierto una vulnerabilidad en algunos modelos nuevos de controladores lógicos programables (PLC) fabricados por Siemens. Según los expertos, la falla está relacionada con la presencia de una función de acceso oculto y podría explotarse tanto para realizar ataques cibernéticos como herramienta de seguridad.
El problema de seguridad está relacionado con la función de acceso de hardware del PLC Siemens S7-1200 (esta función procesa las actualizaciones de software y verifica la integridad del firmware del PLC al iniciar el dispositivo). Al parecer, este acceso muestra comportamiento similar al de un backdoor.
Acorde a los expertos en seguridad de aplicaciones web, un actor de amenazas puede abusar de esta función para omitir el paso de verificación de integridad del firmware durante alrededor de medio segundo, ventana de tiempo en la que el atacante podría descargar código malicioso y posteriormente obtener control total sobre los procesos del dispositivo.
En su reporte, los expertos dicen ignorar por qué Siemens habrá instalado tal acceso en estos dispositivos: “Esta es a todas luces una mala práctica de seguridad; el acceso brinda a cualquiera con los conocimientos suficientes acceso al contenido de la memoria, además de la capacidad de sobrescribir datos y extraer información”, mencionan los expertos.
Durante la investigación, los expertos descubrieron que este acceso oculto también puede ser útil para los investigadores de seguridad, pues brinda un forense de la memoria del dispositivo. “Logramos usar esta función para acceder al contenido de la memoria del PLC, lo que podría ayudar en investigación forense digital para detectar código malicioso. Aunque la compañía no permite acceder al contenido de la memoria en condiciones normales, esto es factible usando este acceso”, concluyen los expertos. Los hallazgos serán presentados de forma oficial durante un evento de ciberseguridad a celebrarse el próximo mes en Londres.
Por otra parte, Siemens recibió en tiempo y forma el reporte sobre esta falla de seguridad y ya ha anunciado el lanzamiento de una solución lo más pronto posible. “Estamos al tanto de la investigación de los expertos de la Universidad de Ruhr, referente al acceso especial basado en hardware en las CPU SIMATIC S7-1200; nuestros equipos de seguridad de aplicaciones web están trabajando para resolver el inconveniente a la brevedad. Recomendamos a nuestros usuarios permanecer alertas ante cualquier actualización oficial”, menciona el comunicado de la compañía.
Aún se desconoce si Siemens implementará sólo una actualización de software o si será necesario implementar nuevos componentes de hardware para corregir esta vulnerabilidad. Especialistas en seguridad de aplicaciones web del Instituto Internacional de Seguridad Cibernética (IICS) mencionan que un reemplazo de hardware sería una solución definitiva, pero es muy complicado de realizar para todos los dispositivos afectados (algo similar ocurre con la consola Nintendo Switch). Dicho esto, lo más probable es que la compañía lance actualizaciones de seguridad continuas para esta vulnerabilidad.
Hace un par de meses fue revelada otra investigación relativa a los PLCs Siemens S7; en esa ocasión, los expertos descubrieron que todas las familias modernas de PLC S7 ejecutaban la misma versión de firmware, además de que compartían la misma clave criptográfica; la compañía recibió todos estos reportes y comenzó el proceso de corrección de fallas de seguridad.
INFORMACIÓN DE LOS CLIENTES DEL ANTIVIRUS TREND MICRO FUE FILTRADA Y VENDIDA A ESTAFADORES EN LÍNEA
CONTENIDO ORIGINAL: https://noticiasseguridad.com/hacking-incidentes/informacion-de-los-clientes-del-antivirus-trend-micro-fue-filtrada-y-vendida-a-estafadores-en-linea/
No debemos olvidar que incluso las compañías especializadas pueden sufrir incidentes de ciberseguridad. Acorde a expertos en forense digital, un empleado de la firma de seguridad Trend Micro, con sede en Japón, fue descubierto robando información de los clientes de la compañía y vendiéndola a terceros con el objetivo de desplegar campañas de estafa de soporte técnico.
Los objetivos de esta campaña eran los clientes de la compañía que utilizan una solución de seguridad de usa doméstico, quienes recibieron llamadas telefónicas de los actores de amenazas que se hacían pasar por empleados de atención al cliente de TrendMicro.
La compañía comenzó a recibir reportes sobre estas llamadas, en las que los criminales usaban información sólo operada por algunos usuarios, lo que los llevó a intuir que los atacantes contaban con la colaboración de un miembro de la compañía. Después de una investigación interna, Trend Micro determinó que un empleado había estado accediendo de forma indebida a una base de datos operada por el área de atención al cliente de la compañía para extraer información confidencial y venderla a los estafadores.
“Después de una minuciosa investigación, nuestro equipo de forense digital pudo confirmar que se trata de una amenaza interna”, menciona una publicación en el blog de la compañía. “Uno de nuestros empleados accedió de forma fraudulenta a nuestras bases de datos de atención al cliente, extrayendo información que incluye nombres, direcciones email, números de teléfono e historial de consultas a nuestra área de soporte técnico“.
La compañía también agregó que, por el momento, no existe evidencia que demuestre que otros datos confidenciales, como información de tarjetas de pago, también fueran comprometidos. El empleado ya ha sido despedido por Trend Micro y se encuentra a la espera del proceso penal en su contra.
La compañía afirma que menos del 1% de los usuarios del servicio de soporte técnico de Trend Micro fueron afectados por esta campaña fraudulenta. Además, el informe del equipo de forense digital de la compañía resalta el hecho de que sólo hablantes de inglés fueron atacados en esta campaña.
Aunque no se extrajeron datos financieros de los clientes afectados, es posible que los atacantes trataran de realizar cargos arbitrarios por servicios de soporte que realmente no eran necesarios.
Como medida de seguridad, se recuerda a los usuarios que Trend Micro nunca realiza llamadas de soporte no solicitadas, por lo que, en caso de recibir una llamada de un supuesto empleado de servicio al cliente de la compañía, los usuarios deben colgar de inmediato y, de ser posible, notificar a Trend Micro.
Especialistas en forense digital del Instituto Internacional de Seguridad Cibernética (IICS) mencionan que los clientes corporativos de Trend Micro no fueron objetivo de los operadores de esta campaña, aunque recomiendan a la compañía permanecer alerta, pues este es el segundo incidente de acceso no autorizado a información confidencial ocurrido recientemente en Trend Micro. Hace algunos meses, se reportó que un hacker no identificado accedió a un laboratorio de pruebas de la compañía y logró extraer más de 30 terabytes de información, incluyendo código fuente confidencial.
LAS BRECHAS DE DATOS PODRÍAN AUMENTAR EL VALOR DE LAS ACCIONES DE UNA EMPRESA. LA RAZÓN POR LA CUAL LAS COMPAÑÍAS NO QUIEREN ARREGLAR SU SEGURIDAD
Los incidentes de brechas de datos pueden resultar catastróficos para cualquier organización, pues de estos derivan grandes multas, pérdida de confianza de los usuarios o clientes y daños en su imagen. No obstante, una reciente investigación realizada por especialistas en seguridad informática ha descubierto que estos incidentes podrían ser de hecho benéficos para algunas compañías.
Como recordará, una brecha de datos involucra el acceso o divulgación no autorizada de registros de información personal. La mayoría de los países cuenta con legislación aplicable en estos casos, aunque no todos los gobiernos del mundo castigan de forma similar esta clase de incidentes.
Los especialistas en seguridad informática destacan que cualquier compañía podría ser impactada por esta clase de incidentes, pues no influye si se trata de organizaciones públicas o privadas y no importa el sector industrial al que la compañía pertenezca. Ya sean aerolíneas, bancos, instituciones públicas y sitios de e-commerce, todos están expuestos a una brecha de datos.
Uno de los principales indicadores para medir el impacto de una brecha de datos en una compañía es el valor de sus acciones. La firma de servicios de seguridad informática Comparitech ha realizado un análisis de algunas compañías que cotizan en la bolsa de valores de E.U. con el propósito de determinar el impacto que una brecha de datos tiene en el precio de una acción en una compañía comprometida.
A partir del estudio de 33 casos diferentes, los investigadores descubrieron que, en promedio, una compañía afectada por una brecha de datos perdía el 7.3% del valor de sus acciones; en los peores casos, las acciones podían caer hasta por 15 días consecutivos.
Sí, este es un escenario indeseable, aunque la investigación dio un giro sorprendente. Alrededor de seis meses después del incidente, todas las compañías afectadas lograron un crecimiento incluso superior al registrado durante los seis meses anteriores a la brecha de datos (un promedio de 7.1% en comparación con el crecimiento anterior de 4%).
Además, los investigadores descubrieron que entre más reciente es la brecha de datos, provoca descensos más grandes en el valor de las acciones de las compañías afectadas. Respecto a las compañías afectadas, las instituciones financieras fueron las más afectadas, mientras que las compañías de servicios de salud sufren en menor medida el impacto financiero de estos incidentes.
Acorde a especialistas en seguridad informática del Instituto Internacional de Seguridad Cibernética (IICS) mencionan que una de las posibles causas de esta revalorización es la forma en la que las compañías gestionan estos incidentes. Después de sufrir una brecha de datos, una compañía puede actualizar sus políticas y prácticas de seguridad, además de su infraestructura de TI, para someterse a auditorías que demuestren una mejora en sus sistemas de seguridad informática, favoreciendo su crecimiento después de completar los procesos de recuperación de incidentes de ciberseguridad.
No obstante, los expertos de Comparitech reconocen que su investigación sólo se enfoca en el análisis del valor de las acciones de una compañía, añadiendo que otras variables, como procesos legales contra las compañías afectadas, también influyen en el rendimiento en la bolsa de las acciones.
CRITICAL VULNERABILITY IN RING SMART DOORBELLS; WIFI NETWORK USERS’ INFORMATION LEAKED
ORIIGNAL CONTENT: https://www.securitynewspaper.com/2019/11/07/critical-vulnerability-in-ring-smart-doorbells-wifi-network-users-information-leaked/
Although people buy video camera doorbells from Ring manufacturer hoping to increase the security of their homes, a flaw in the software of these devices could expose its users to a new security risk. According to experts in ethical hacking, the flaw would allow a threat actor to extract username and WiFi password from the doorbell user.
According to Bitdefender’s report, the security firm in charge of reporting the vulnerability, Ring’s parent company was informed of this flaw last June; the vulnerability was corrected in the Ring update for September.
It should be remembered that Ring is a company dedicated to the manufacture of doorbells with surveillance camera; almost two years ago, this company was acquired by Amazon for almost $850 million USD. Currently, these surveillance systems are linked to at least 580 police departments in the United States, integrating a neighborhood surveillance network, ethical hacking experts report.
Explained in this way, installing Ring devices in homes would seem like a good idea, although not everyone thinks their use is recommended. Privacy specialists have expressed concern that these systems connect directly to police stations, as well as the obvious exposure to threat actors.
An additional concern is that this is not the first time experts found vulnerabilities in Ring. A couple of years ago, experts at Pen Ten Partners discovered a series of flaws in these devices that, if exploited, allowed hackers to extract passwords from the WiFi network to which the doorbell connects. Other research has shown that it is possible to extract real-time images from these devices.
Ethical hacking experts mention that the vulnerability lies in the connection between the video camera and the Ring app. When setting up a device for the first time, the app must send a sign-in record from the WiFi network to the doorbell. Because this information is sent over an unencrypted network, any hacker could perform a Man-in-the-Middle (MiTM) attack to intercept the sent data. It is important to note that the attacker must be in a location close to the signal from the target WiFi network.
After the latest security issue was revealed in Ring, the company released a statement: “The security of our devices and the trust of our users are the most important thing to us. We want to report that a security update was released to address the reported failure; the problem has already been corrected.”
Due to its characteristics, this attack can only occur during the device configuration process, mentioning ethical hacking specialists from the International Institute of Cyber Security (IICS). However, a hacker could also send fake messages to a user to try to trick them and have them set the ring from scratch again, although the complexity of this scenario increases considerably.
EXPERTS FOUND A BACKDOOR IN SIEMENS PLCS. CRITICAL INFRASTRUCTURE AND SCADA NETWORKS AFFECTED
ORIGINAL CONTENT: https://www.securitynewspaper.com/2019/11/07/experts-found-a-backdoor-in-siemens-plcs-critical-infrastructure-and-scada-networks-affected/
A team of web application security specialists from Ruhr University in Bochum, Germany, has discovered a critical vulnerability in some new programmable logic controller (PLC) models manufactured by Siemens. According to the experts, the flaw is related to the presence of a hidden access feature and could be exploited both to perform cyberattacks and security tool.
The security issue is related to the hardware access function of the Siemens S7-1200 PLC (this feature processes software updates and verifies the integrity of the PLC firmware when starting the device). Apparently, this access shows behavior similar to that of a backdoor.
According to web application security experts, a threat actor may abuse this feature to bypass the firmware integrity verification step for about half a second, time in which the attacker could download malicious code and subsequently gain full control over the device’s processes.
In their report, experts say they ignore why Siemens could have installed such access on these devices: “This is clearly a bad security practice; this feature gives anyone with sufficient knowledge access to the contents of memory, as well as the ability to overwrite data and extract information,” the experts say.
During the investigation, experts discovered that this hidden access can also be useful for security researchers, as it provides a memory device forensic. “We managed to use this feature to access the contents of the PLC’s memory, which could help in digital forensics investigation to detect malicious code. Although the company does not allow access to memory content under normal conditions, this is feasible using this access,” the experts conclude. The findings will be officially presented during a cybersecurity event to be held next month in London.
On the other hand, Siemens received the report on this security flaw in a timely manner and has already announced the launch of a solution as soon as possible. “We are aware of the research of the experts of Ruhr University, regarding special hardware-based access on SIMATIC S7-1200 CPUs; our web application security teams are working to resolve the issue as soon as possible. We recommend that our users remain alert to any official update,” the company’s statement says.
It is still unknown whether Siemens will deploy only software updates or whether new hardware components will be needed to fix this vulnerability. International Institute of Cyber Security (IICS) web application security specialists mention that a hardware replacement would be a definitive solution, but it is very complicated to perform for all affected devices (something similar to the Nintendo Switch case). That being said, the company will most likely release continuous security updates to fix the flaw.
A couple of months ago, another investigation into Siemens S7 PLCs was revealed; on that occasion, experts discovered that all modern PLC S7 families were running the same firmware version, and they even shared the same cryptographic key; the company received all these reports and began the process of correcting security flaws.
TRENDMICRO ANTIVIRUS CUSTOMERS’ INFORMATION WAS LEAKED AND SOLD TO ONLINE SCAMMERS
ORIGINAL CONTENT: https://www.securitynewspaper.com/2019/11/07/trendmicro-antivirus-customers-information-was-leaked-and-sold-to-online-scammers/
We must not forget that even specialized companies can suffer cybersecurity incidents. According to digital forensics experts, an employee of Japan-based security firm TrendMicro was discovered stealing information from the company’s customers and selling it to third parties aiming to deploy sophisticated tech support scam campaigns.
The targets of this campaign were the company’s customers using a home-use security solution, who received phone calls from threat actors posing as TrendMicro customer service employees.
The company began receiving reports on these calls, in which criminals used information only operated by some of TrendMicro employees, leading them to intuit that the attackers had the collaboration of an insider. After an internal investigation, TrendMicro determined that an employee had been improperly accessing a database operated by the company’s customer service area to extract sensitive information and sell it to scammers.
“After a thorough investigation, our digital forensics team was able to confirm that this is an internal threat,” the company mentions a blog post. “One of our employees fraudulently accessed our customer support databases, extracting information including names, email addresses, phone numbers, and client support query backup”.
The company also added that, so far, there is no evidence to prove that other sensitive data, such as payment card information, was also compromised. The employee has already been fired by TrendMicro and is awaiting legal proceedings against him.
The company claims that less than 1% of TrendMicro tech support users were affected by this fraudulent campaign. In addition, the company’s digital forensics team report highlights the fact that only English speakers were attacked in this campaign.
Although no financial data was extracted from affected customers, it is possible that the attackers tried to make arbitrary charges for support services that were not really needed.
As a security measure, users are reminded that TrendMicro never makes unsolicited support calls, so in case of receiving a call from an alleged customer service employee users must hang up immediately and, if possible, notify TrendMicro.
International Institute of Cyber Security (IICS) digital forensics specialists mention that TrendMicro’s corporate clients were not targeted by the operators of this campaign, although they recommend that the company remain vigilant, as this is the second incident of unauthorized access to sensitive information that occurred recently on TrendMicro. A few months ago, it was reported that an unidentified hacker accessed a company test lab and managed to extract more than 30 terabytes of information, including sensitive source code.
DATA BREACHES COULD INCREASE THE PRICE OF A COMPANY’S SHARES. THE REASON WHY COMPANIES DON’T FIX THEIR SECURITY
ORIGINAL CONTENT: https://www.securitynewspaper.com/2019/11/07/data-breaches-could-increase-the-price-of-a-companys-shares-the-reason-why-companies-dont-fix-their-security/
Data breach incidents can be catastrophic for any organization, resulting in large fines, loss of user or customer trust, and public image damage. However, a recent research conducted by information security specialists has found that these incidents could in fact be beneficial for some companies.
As you may recall, a data breach involves unauthorized access or disclosure of personal information records. Most countries have legislation applicable in these cases, although not all governments in the world similarly punish such incidents.
Information security specialists stress that any company could be impacted by such incidents, as it does not influence whether they are public or private organizations and no matter the industry sector to which the company belongs. Whether it’s airlines, banks, public institutions and e-commerce sites, they’re all exposed to a data breach.
One of the main indicators for measuring the impact of a data breach on a company is the price of its shares. Information security services firm Comparitech has conducted an analysis of some companies listed on the US stock exchange for the purpose of determining the impact that a data breach has on the stock performance on a compromised company.
From the study of 33 different cases, the researchers found that, on average, a company affected by a data breach lost 7.3% of the value of its shares; in the worst cases, stocks could fall for up to 15 consecutive days.
Yes, this is an undesirable scenario, although the investigation took a surprising turn. About six months after the incident, all affected companies achieved even higher growth than in the six months prior to the data breach (an average of 7.1% compared to previous growth of 4%).
In addition, researchers found that the more recent the data breach is, the larger it causes a decline in the price on the shares of the affected companies. For the companies concerned, financial institutions were the hardest hit, while health care companies suffer to a lesser extent the financial impact of these incidents.
According to information security specialists from the International Institute of Cyber Security (IICS) one of the possible causes of this revaluation is the way in which companies handle these incidents. After suffering a data breach, a company can update its security policies and practices, in addition to its IT infrastructure, to finally undergo audits that demonstrate an improvement in its it security systems, supporting its growth after completing cybersecurity incident recovery processes.
However, Comparitech experts recognize that their research only focuses on analyzing the price of a company’s shares, adding that other variables, such as legal proceedings against affected companies, also influence performance in the stock exchange.
Tuesday 12 November 2019
LA CADENA DE HOTELES MARRIOTT NUEVAMENTE HACKEADA; INFORMACIÓN PERSONAL DE LOS CLIENTES FILTRADA. ¿POR QUÉ LAS EMPRESAS PERMITEN QUE ESTO PASE?
La cadena hotelera Marriott International ha alertado a sus clientes sobre un incidente de ciberseguridad que podría impactar de forma negativa en la seguridad de los datos de algunos usuarios (específicamente sus números de seguridad social), luego de que un actor de amenazas accediera a las redes de la compañía, reportan expertos en protección de datos.
En su alerta de seguridad, la compañía menciona que la exposición de información deriva de un ciberataque sufrido por un proveedor de servicios externo que trabajó anteriormente para Marriott: “El pasado 4 de septiembre detectamos que un usuario no identificado obtuvo acceso a información de algunos asociados de Marriott mediante un proveedor externo”, menciona el comunicado de la compañía.
Al parecer, este proveedor de servicios trabajaba para Marriott recibiendo documentos oficiales (citaciones, órdenes judiciales, etc.); uno de los documentos que Marriott compartió con este proveedor externo incluía los números de seguridad social de algunos asociados, además de nombres completos y direcciones. La exposición de datos involucra este documento específico, mencionan los especialistas en protección de datos.
Después de detectar esta exposición de información, Marriott se puso en contacto con la otra compañía, que aseguró se encuentra manejando este incidente de la mejor manera posible; “Hemos finalizado nuestra relación con esta compañía, que a su vez nos ha informado que la información acerca de los asociados de Marriott está siendo eliminada de forma segura de sus redes”, añadió la cadena de hoteles.
Como medida de seguridad para los usuarios afectados, Marriott anunció que se les brindará un servicio de protección contra el robo de identidad de forma gratuita por un año.
Si bien la compañía detectó esta exposición de información hace dos meses, el incidente no podía ser públicamente revelado, pues antes era necesario informar directamente a cada usuario afectado, además de notificar a las autoridades competentes. Un reporte publicado en la plataforma especializada Bleeping Computer incluso afirma que la compañía no ha terminado de informar a todos los usuarios afectados. Según se ha reportado, hasta ahora se han detectado poco más de mil 500 usuarios afectados, aunque la cifra aún podría crecer.
Este no es el primer incidente de seguridad reportado por Marriott. Hace aproximadamente un año, especialistas en protección de datos del Instituto Internacional de Seguridad Cibernética (IICS) reportaron que un grupo de hackers logró comprometer las bases de datos de Starwood, una de las múltiples marcas de Marriott, exponiendo casi 390 millones de registros. La compañía se hizo acreedora a múltiples multas por fallas de seguridad informática.
A NADIE LE IMPORTÓ ESTA NUEVA BRECHA DE DATOS EN FACEBOOK; INFORMACIÓN PERSONAL DE LOS USUARIOS SE FILTRÓ NUEVAMENTE
CONTENIDO ORIGINAL: https://noticiasseguridad.com/hacking-incidentes/a-nadie-le-importo-esta-nueva-brecha-de-datos-en-facebook-informacion-personal-de-los-usuarios-se-filtro-nuevamente/
Acorde a especialistas en seguridad informática, alrededor de cien desarrolladores de aplicaciones web podrían haber tenido acceso inadecuado a los datos de millones de usuarios de Facebook, pues la compañía cometió un error que derivó en la revocación de algunas restricciones en el acceso a esta información.
Debido a que la brecha de datos fue revelada al público sólo a través del blog de desarrolladores de Facebook, este incidente pasó casi completamente desapercibido, excepto para algunos miembros de la comunidad de la ciberseguridad.
A pesar de que hace más de un año se actualizaron los parámetros de acceso a la información de los grupos de Facebook, durante este incidente los nombres de usuario y las fotos de perfil de los usuarios, además de sus registros de actividad en determinados grupos, permanecieron accesibles para desarrolladores específicos, menciona la publicación de la compañía.
Además, los especialistas en seguridad informática señalan que, de los casi cien desarrolladores que contaban con este acceso mediante la API de grupos de Facebook, al menos una decena habría estado consultando activamente esta información durante los últimos dos meses
Es necesario señalar que, hasta antes de abril de 2018, los administradores de grupos de Facebook podían brindar a los desarrolladores de apps acceso a la información del grupo. Después de la actualización en las API de grupos, cuando un administrador autorizaba una app, los desarrolladores sólo pueden acceder a datos como nombre del grupo, número de participantes y contenido de los posts.
Estas actualizaciones de API forman parte de las medidas implementadas por Facebook después de que se reveló el escándalo de Cambridge Analytica, con las que la compañía buscaba mejorar sus políticas de uso de datos de los usuarios y las compañías que pueden acceder a ellos.
Facebook afirma que ha solicitado a los desarrolladores involucrados eliminar cualquier registro de información obtenido gracias a este acceso indebido, añadiendo que realizará algunas auditorías de seguridad para verificar que este proceso se cumpla debidamente. Sin embargo, muchos expertos en seguridad informática consideran que la compañía no está actuando con total transparencia, pues los nombres de los desarrolladores, apps o grupos de Facebook involucrados no fueron revelados, argumentando razones de seguridad.
Finalmente, el gigante de las redes sociales aseguró a los usuarios (aunque el mensaje iba dirigido a los desarrolladores) que hasta ahora no existe evidencia que demuestre un uso abusivo de este acceso anómalo; aunque tratándose de Facebook la privacidad de datos parece siempre vulnerada de algún modo u otro.
Este ha sido un año convulsionado para Facebook en cuanto a incidentes de brechas de datos, por lo que las autoridades de diversas partes del mundo han tomado decisiones relevantes. Hace algunos meses, especialistas en seguridad informática del Instituto Internacional de Seguridad Cibernética (IICS) reportaron una decisión histórica de la Comisión Federal de Comercio (FTC), que decidió imponer a Facebook una multa récord de 5 mil millones de dólares por las múltiples prácticas que infringen diversas leyes de protección de datos de los usuarios; aún así, muchos consideran que esta multa sigue siendo insuficientes para ejercer real presión sobre estas compañías.
