Blog

Los investigadores de ciberseguridad han revelado una falla no reparada en Apple Pay que los atacantes podrían abusar para realizar un pago Visa no autorizado con un iPhone bloqueado aprovechando el modo Express Travel configurado en la billetera del dispositivo.

"Un atacante sólo necesita un robados, alimentados en el iPhone. Las transacciones también pueden ser transmitidos desde un iPhone dentro de la bolsa de alguien, sin su conocimiento", un grupo de académicos de la Universidad de Birmingham y la Universidad de Surrey , dijo .. "El atacante no necesita ayuda del comerciante y los controles de detección de fraude de backend no han detenido ninguno de nuestros pagos de prueba".

Express Travel es una función que permite a los usuarios de iPhone y Apple Watch realizar pagos rápidos sin contacto para el transporte público sin tener que activar o desbloquear el dispositivo, abrir una aplicación o incluso validar con Face ID, Touch ID o una contraseña

hombre en el medio ( MitM repetición retransmisión del hombre en el medio ( MitM ) , que implica eludir la pantalla de bloqueo para realizar un pago a cualquier lector EMV de forma ilícita, es posible debido a una combinación de fallas en el sistema de Apple Pay y Visa, y no afecta, digamos, Mastercard en Apple Pay o tarjetas Visa en Samsung Pay.

El modus operandi se basa en imitar una transacción de puerta de tránsito mediante el uso de un dispositivo Proxmark que actúa como un lector de tarjetas EMV que se comunica con el iPhone de la víctima y una aplicación de Android habilitada para NFC que funciona como un emulador de tarjeta para transmitir señales a una terminal de pago.

Específicamente, aprovecha un código único, también conocido como Magic Bytes, transmitido por las puertas de tránsito para desbloquear Apple Pay, lo que da como resultado un escenario en el que, al reproducir la secuencia de bytes, el dispositivo Apple es engañado para autorizar una transacción no autorizada como si se hubiera originado en la barrera de los billetes, cuando, en realidad, se ha activado a través de una terminal de pago sin contacto bajo el control del atacante.

Al mismo tiempo, también se engaña al lector EMV para que crea que se ha realizado la autenticación del usuario en el dispositivo, lo que permite realizar pagos de cualquier monto sin el conocimiento del usuario del iPhone.

Apple y Visa fueron alertados sobre la vulnerabilidad en octubre de 2020 y mayo de 2021, respectivamente, dijeron los investigadores, y agregaron que "ambas partes reconocen la gravedad de la vulnerabilidad, pero no han llegado a un acuerdo sobre qué parte debería implementar una solución".

En un comunicado compartido con la BBC, Visa dijo que este tipo de ataque era "poco práctico", y agregó: "Las variaciones de los esquemas de fraude sin contacto se han estudiado en entornos de laboratorio durante más de una década y han demostrado ser imprácticas para ejecutar a escala en el mundo real."

"Esta es una preocupación con el sistema Visa, pero Visa no cree que este tipo de fraude pueda ocurrir en el mundo real dadas las múltiples capas de seguridad existentes", dijo un portavoz de Apple a la emisora nacional del Reino Unido.

Autor Ravie Lakshmanan

Fuente https://thehackernews.com/2021/10/apple-pay-can-be-abused-to-make.html

Barlow Respiratory Hospital en California escapó de lo peor de un reciente ataque de ransomware, pero aún tenía datos de pacientes publicados en un sitio de filtración.

Los grupos de ransomware no han mostrado signos de ralentizar su asalto a los hospitalesaparentemente incrementando los ataques a las instituciones de salud a medida que docenas de países enfrentan una nueva ola de infecciones por COVID-19 gracias a la potente variante Delta.

Uno de los grupos de ransomware más nuevos, Vice Society, debutó en junio debutó en junio y se hizo un nombre al atacar varios hospitales y filtrar información de pacientes. Los investigadores de ciberseguridad de Cisco Talos dijeron que se sabe que Vice Society "se apresura a explotar nuevas vulnerabilidades de seguridad para ayudar a los ataques de ransomware" y con frecuencia explota las vulnerabilidades de Windows PrintNightmare durante los ataques.

"Al igual que con otros actores de amenazas que operan en el espacio de la caza mayor, Vice Society opera un sitio de filtración de datos, que utilizan para publicar datos extraídos de víctimas que no eligen pagar sus demandas de extorsión", explicó Cisco Talos el mes pasado.
La firma de ciberseguridad Dark Owl agregó que Vice Society "se considera un posible derivado de la variante de ransomware Hello Kitty en función de las similitudes en las técnicas utilizadas para el cifrado del sistema Linux".

Varios hospitales, Eskenazi Health, Waikato DHB y Center Hospitalier D'Arles, han aparecido en el sitio de filtración del grupo criminal. El grupo causó sensación esta semana al publicar los datos del Hospital Respiratorio Barlow en California.

El hospital fue atacado el 27 de agosto pero logró evitar lo peor, señalando en un comunicado que "ningún paciente estaba en riesgo de sufrir daños" y que "las operaciones del hospital continuaron sin interrupción".

Barlow Respiratory Hospital le dijo ZDNet que la policía fue notificada de inmediato una vez que el hospital notó que el ransomware afectaba algunos de sus sistemas de TI.

"Aunque hemos realizado grandes esfuerzos para proteger la privacidad de nuestra información, nos enteramos de que algunos datos se eliminaron de ciertos sistemas de respaldo sin autorización y se publicaron en un sitio web donde los delincuentes publican datos robados, también conocida como la 'web oscura'. Nuestra investigación sobre el incidente y los datos involucrados está en curso ", dijo el hospital en un comunicado.

"Continuaremos trabajando con las fuerzas del orden para ayudar en su investigación, y estamos trabajando diligentemente, con la ayuda de una firma de ciberseguridad, para evaluar qué información pudo haber estado involucrada en el incidente. Si es necesario, notificaremos a las personas cuya información puede haber estado involucrada, de acuerdo con las leyes y regulaciones aplicables, a su debido tiempo ".

El ataque a Barlow causó una considerable indignación en línea considerando la importancia del hospital durante la pandemia de COVID-19Pero docenas de hospitales continúan presentándose para decir que han sido atacados por ataques de ransomware.
Vice Society está lejos de ser el único grupo de ransomware dirigido a hospitales e instituciones de salud.

El FBI lanzó una alerta sobre el ransomware Hive hace dos semanas después de que el grupo derribara un sistema hospitalario en Ohio y Virginia Occidental el mes pasado, señalando que normalmente también corrompen las copias de seguridad.

Hasta ahora atacado al menos a 28 organizacionesincluido el Memorial Health System, que fue atacado con un ransomware el 15 de agosto .

Los grupos de ransomware también se dirigen cada vez más a los hospitales debido a la información confidencial que llevan, incluidos los números de seguridad social y otros datos personales. En los últimos meses, varios hospitales han tenido que enviar cartas a pacientes admitiendo que se accedió a datos confidenciales durante los ataques.

Simon Jelley, gerente general de Veritas Technologies, dijo que atacar a las organizaciones de atención médica es "particularmente despreciable".

"Estos delincuentes, literalmente, están poniendo en peligro la vida de las personas para obtener ganancias. Los ancianos, los niños y cualquier otra persona que requiera atención médica probablemente no podrán obtenerla con la rapidez y eficacia que necesitan. Al mismo tiempo, los piratas informáticos mantener prisioneros a los sistemas hospitalarios y los datos ", dijo Jelley.

"Sin mencionar que los centros de salud ya están luchando por mantenerse al día a medida que los casos de COVID-19 aumentan una vez más en muchos lugares del país. Prevenir los ataques de ransomware es un esfuerzo noble, pero como lo ilustra el ataque al Memorial Health System y tantos otros como En los últimos meses, la preparación para hacer frente a las secuelas de un ataque exitoso es más importante que nunca ".

Autor Jonathan Greig

Fuente https://www.zdnet.com/article/ransomware-groups-contineu-assault-on-healthcare-orgs-as-covid-19-infections-increase /? & web_view = true

Los ciberataques de IoT han ido en aumento y, recientemente, los ataques han aumentado a una escala masiva. Según Kaspersky, solo en los primeros seis meses de este año se han registrado más de 1.500 millones de ataques a dispositivos inteligentes. El motivo principal detrás de apuntar a los dispositivos de IoT es robar datos, extraer criptomonedas y / o desarrollar botnets.

¿Lo que ha sucedido?

La telemetría de Kaspersky reveló que los primeros seis meses de este año han mostrado un crecimiento del 100% en los ciberataques dirigidos a dispositivos IoT en comparación con las tendencias anteriores.
• Los atacantes todavía están monetizando la situación del trabajo desde casa. Están atacando los recursos corporativos al dirigirse a las redes domésticas y los dispositivos inteligentes en el hogar conectados a estos recursos corporativos.
• Los dispositivos infectados se utilizan para robar información personal o corporativa y extraer criptomonedas. Los dispositivos infectados se agregan a una botnet para realizar ataques DDoS.
• Los atacantes utilizan contraseñas débiles para infectar objetivos de IoT. Además, las vulnerabilidades se descubren con mayor frecuencia en dispositivos inteligentes.

Según el informe, todavía hay una falta de preparación para incidentes ya que los dispositivos personales se utilizan para acceder a los recursos en las redes corporativas. Reduce la visibilidad del punto final y expande la superficie de ataque.

Amenazas recientes en dispositivos IoT

Se ha revelado un conjunto de vulnerabilidades llamado BrakTooth , que afecta a las pilas Bluetooth de miles de millones de dispositivos de uso común, incluidos al menos los conjuntos de chips de 11 proveedores.
• Hace apenas una semana, se detectó una vulnerabilidad en la pila de protocolos SIP de Linphone de Belledonne Communications. Es una de las primeras aplicaciones de código abierto que usa SIP en Linux. Apuntó a Linphone y otros productos basados en SIP, incluidas las aplicaciones móviles VoIP populares y el firmware de IoT.
• En mayo, la botnet Lemon Duck tenía como objetivo los dispositivos de IoT para explotar los recursos informáticos para extraer criptomonedas. Además, dio lugar a que se añadieran más sistemas a la red de botnets.

Conclusión
Los dispositivos de IoT se utilizan ahora más que nunca y se han convertido en una parte esencial de las operaciones diarias. Al mismo tiempo, la creciente explotación de dispositivos inteligentes se ha convertido en una gran preocupación, lo que podría conducir al acceso dentro de las redes corporativas. Por lo tanto, se recomienda a los usuarios de IoT que eviten el uso de contraseñas predeterminadas y siempre actualicen los dispositivos con el firmware más reciente.

Autor: Cyware

Fuente https://cyware.com/news/iot-attacks-ramps-up-at-2x-speed-7c73116b

Un grupo de APT se ha dirigido recientemente al servidor de Active Directory del entorno Office365 de una víctima extorsionando los tokens SAML secretos. Estos tokens transmiten información sobre usuarios, inicios de sesión y atributos entre la identidad y los proveedores de servicios.

¿Lo que ha sucedido?

Los investigadores descubrieron que el grupo de amenazas se dirigió al entorno de Office 365 que se cree que tiene un modelo de autenticación híbrido configurado o que funciona completamente en una red en la nube.
El actor de amenazas secuestró el servidor AD FS probablemente usando credenciales robadas y obtuvo acceso al servidor que explota el token SAML.
Los atacantes se dirigieron específicamente a los certificados de firma de tokens y las claves privadas utilizadas para indicar los tokens SAML, dentro de los servidores. Este certificado tiene una validez predeterminada de un año.
Permite a los ciberdelincuentes iniciar sesión en Azure u Office365 como cualquier usuario existente dentro de AD, independientemente de cualquier restablecimiento de contraseña o requisito de MFA.

Un objetivo candente por una razón

Los atacantes pueden acceder a Azure / Azure AD, Office365, Azure Applications y Defender Security Center abusando del token Golden SAML.
Los atacantes pueden filtrar archivos de base de datos mediante registros de proxy, NetFlow, EDR y análisis de línea de comandos. Pueden realizar movimientos laterales ADFS a través del ataque PTH.
Pueden usar herramientas de volcado de credenciales a través del registro de línea de comandos en las herramientas Sysmon o EDR. Además, pueden realizar acceso DKM usando Powershell y también falsificar solicitudes SAML.

Conclusión
El ataque reciente es complicado y se lleva a cabo con el objetivo de lograr que el certificado de firma de tokens obtenga acceso a una red objetivo específica. Por lo tanto, los expertos sugieren implementar capas adicionales de protección para los certificados SAML y, en caso de compromiso, volver a emitir certificados en ADFS dos veces y forzar la reautenticación para todos los usuarios.

Autor: Alertas de Cyware - Hacker News

Fuente https://cyware.com/news/hackers-target-golden-saml-tokens-for-network-access-35dbfad3

Barlow Respiratory Hospital en California escapó de lo peor de un reciente ataque de ransomware, pero aún tenía datos de pacientes publicados en un sitio de filtración.

Los grupos de ransomware no han mostrado signos de ralentizar su asalto a los hospitales , aparentemente incrementando los ataques a las instituciones de salud a medida que docenas de países enfrentan una nueva ola de infecciones por COVID-19 gracias a la potente variante Delta.

Uno de los grupos de ransomware más nuevos, Vice Society, debutó en junio y se hizo un nombre al atacar varios hospitales y filtrar información de pacientes. Los investigadores de ciberseguridad de Cisco Talos dijeron que se sabe que Vice Society "se apresura a explotar nuevas vulnerabilidades de seguridad para ayudar a los ataques de ransomware" y con frecuencia explota las vulnerabilidades de Windows PrintNightmare durante los ataques.

"Al igual que con otros actores de amenazas que operan en el espacio de caza mayor, Vice Society opera un sitio de filtración de datos, que utilizan para publicar datos extraídos de víctimas que no eligen pagar sus demandas de extorsión", explicó Cisco Talos el mes pasado.
La firma de ciberseguridad Dark Owl agregó que Vice Society "se considera un posible derivado de la variante de ransomware Hello Kitty en función de las similitudes en las técnicas utilizadas para el cifrado del sistema Linux". Según Black Fog, estuvieron implicados en un ataque de ransomware en la ciudad suiza de Rolle en agosto.

Varios hospitales, Eskenazi Health, Waikato DHB y Center Hospitalier D'Arles, han aparecido en el sitio de filtración del grupo criminal. El grupo causó sensación esta semana al publicar los datos del Hospital Respiratorio Barlow en California.

El hospital fue atacado el 27 de agosto pero logró evitar lo peor, señalando en un comunicado que "ningún paciente estaba en riesgo de sufrir daños" y que "las operaciones del hospital continuaron sin interrupción".

Barlow Respiratory Hospital le dijo a ZDNet que la policía fue notificada de inmediato una vez que el hospital notó que el ransomware afectaba algunos de sus sistemas de TI.

"Aunque hemos realizado grandes esfuerzos para proteger la privacidad de nuestra información, nos enteramos de que algunos datos se eliminaron de ciertos sistemas de respaldo sin autorización y se publicaron en un sitio web donde los delincuentes publican datos robados, también conocida como la 'web oscura'. Nuestra investigación sobre el incidente y los datos involucrados está en curso ", dijo el hospital en un comunicado.

"Continuaremos trabajando con las fuerzas del orden para ayudar en su investigación, y estamos trabajando diligentemente, con la ayuda de una firma de ciberseguridad, para evaluar qué información pudo haber estado involucrada en el incidente. Si es necesario, notificaremos a las personas cuya información puede haber estado involucrada, de acuerdo con las leyes y regulaciones aplicables, a su debido tiempo ".
El ataque a Barlow causó una considerable indignación en línea considerando la importancia del hospital durante la pandemia de COVID-19 . Pero docenas de hospitales continúan presentándose para decir que han sido atacados por ataques de ransomware.
Vice Society está lejos de ser el único grupo de ransomware dirigido a hospitales e instituciones de salud.

El FBI emitió una alerta sobre el ransomware Hive hace dos semanas después de que el grupo derribara un sistema hospitalario en Ohio y Virginia Occidental el mes pasado, y señaló que normalmente también corrompen las copias de seguridad.

Hasta ahora, Hive ha atacado al menos a 28 organizaciones , incluido el Memorial Health System, que fue atacado con un ransomware el 15 de agosto .
Los grupos de ransomware también se dirigen cada vez más a los hospitales debido a la información confidencial que llevan, incluidos los números de seguridad social y otros datos personales. En los últimos meses, varios hospitales han tenido que enviar cartas a pacientes admitiendo que se accedió a datos confidenciales durante los ataques.

Simon Jelley, gerente general de Veritas Technologies, dijo que atacar a las organizaciones de atención médica es "particularmente despreciable".
"Estos delincuentes, literalmente, están poniendo en peligro la vida de las personas para obtener ganancias. Los ancianos, los niños y cualquier otra persona que requiera atención médica probablemente no podrán obtenerla con la rapidez y eficacia que necesitan. Al mismo tiempo, los piratas informáticos mantener prisioneros a los sistemas hospitalarios y los datos ", dijo Jelley.

"Sin mencionar que los centros de salud ya están luchando por mantenerse al día a medida que los casos de COVID-19 aumentan una vez más en muchos lugares del país. Prevenir los ataques de ransomware es un esfuerzo noble, pero como lo ilustra el ataque al Memorial Health System y tantos otros como En los últimos meses, la preparación para hacer frente a las secuelas de un ataque exitoso es más importante que nunca ".

Author: Jonathan Greig.

Fuente https://www.zdnet.com/article/ransomware-groups-continue-assault-on-healthcare-orgs-as-covid-19-infections-increase/?&web_view=true

Los piratas informáticos han robado información del fabricante de ropa deportiva Puma y actualmente están tratando de extorsionar a la compañía alemana para que pague una demanda de rescate, amenazando con liberar los archivos robados en un portal de la web oscura especializado en la filtración y venta de información robada.

La entrada que anuncia los datos de Puma se agregó al sitio hace más de dos semanas, a fines de agosto, según se enteró The Record .
"Era un código fuente de PUMA para una aplicación interna, que se filtró", dijo Robert-Jan Bartunek, jefe de comunicaciones corporativas de Puma, a The Record la semana pasada.

“Ningún dato de consumidores o empleados se vio afectado”, agregó Bartunek.

Hackers claim to be in possession of more than 1GB of Puma data.
Para probar sus afirmaciones, los actores de amenazas filtraron algunos archivos de muestra que, según su estructura, sugieren que los atacantes podrían haber obtenido los datos de Puma de un repositorio de código fuente de Git.

Los datos se enumeran actualmente en un portal web oscuro llamado Marketo. Lanzado en abril de este año, el sitio funciona de manera simplista.

Al principio, los administradores del sitio enumeran las próximas víctimas y luego agregan algún tipo de prueba (generalmente un pequeño archivo descargable) de que violaron su red.

Si la empresa víctima no coopera con los piratas informáticos, sus datos se filtran en el sitio, ya sea como descarga gratuita o para miembros VIP exclusivos.

El sitio afirma enumerar los datos proporcionados por múltiples grupos de piratería y que no funciona con bandas de ransomware.
"En este momento, puedo decir que Puma aún no se ha puesto en contacto con nosotros", dijo el administrador del portal de filtraciones de la web oscura a The Record en una conversación la semana pasada.

“El resto de los datos se darán a conocer si Puma declina las negociaciones”, agregaron.

Otros nombres que figuran en el sitio actualmente incluyen nombres como Siemens Gamesa, Kawasaki, Fujitsu y más de 20 más. En un comunicado a Jonathan Greig de ZDNet , Fujitsu dijo la semana pasada que los datos que figuran en Marketo no estaban conectados a un ciberataque en su red, lo que sugiere que podrían haber sido obtenidos de un tercero.

Autor: Catalin Cimpanu
Fuente https://therecord.media/hackers-stole-puma-source-code-no-customer-data-company-says/?web_view=true

Aamir Lakhani, investigador de FortiGuard Labs, explica por qué las organizaciones deben extender la capacitación en conciencia cibernética en toda la empresa, desde los luditas hasta los ejecutivos.

En estos días, el ransomware es aparentemente omnipresente. Ya no es solo un tema de discusión para los profesionales e investigadores de la ciberseguridad, en estos días parece que rara vez pasa una semana sin que esté en los principales medios de comunicación.

Se ha convertido rápidamente en una palabra común y, en algunos aspectos, esta mayor visibilidad es un avance positivo. Si bien no es bueno que todos hablen de ello en relación con los ataques recientes, lo bueno es que la conciencia (con suerte) también está aumentando. Porque en el mundo actual, básicamente todo el mundo es un objetivo potencial para el ransomware, y eso significa que los profesionales de la seguridad tienen mucho trabajo por delante.

Mayor vulnerabilidad en general.
Incluso los luditas más reconocidos entre nosotros probablemente tengan al menos una pequeña huella digital, lo sepan o no. Si compra alimentos con una tarjeta de débito, visita a un médico o paga impuestos, hay información personal sobre usted en un formato digital en alguna parte. Y eso es solo por nombrar algunos ejemplos.

Eso significa que la mentalidad de "Oh, no tengo nada que les interese a los ciberdelincuentes" debe dejarse de lado para siempre. Sí, lo hace, e incluso si no cree que lo haga directamente, probablemente esté conectado con otra persona con activos digitales más valiosos, y los malos actores intentarán usarlo como un camino. Y como profesionales de la seguridad, debemos hacer que todos comprendan esto.

La explosión de ataques es el resultado de que los actores de amenazas recogen la fruta más barata con "recolectores" digitales increíblemente poderosos y recursos escalables, incluidos los enfoques automatizados y el aprendizaje automático. Por ejemplo, considere cómo están usando el spear-phishing a través del aprendizaje automático armado para dirigirse a los ejecutivos. También significa que ahora los dispositivos de IoT de baja seguridad, las actualizaciones del sistema sin parches y más se pueden detectar de manera más fácil y eficiente que nunca.

Lowest hanging fruit is not always the best target.
Si bien no todos los piratas informáticos buscan dinero, si es así, se vuelven particularmente hábiles para ejercer su oficio. Lo que los actores malintencionados buscan a menudo son las "llaves del reino", la información, las contraseñas, los contactos o las cuentas más lucrativos y de importancia crítica, que generalmente se encuentran dentro del C-suite. Y los objetivos de la alta dirección no solo tienen los datos organizativos más valiosos, sino que también son los que toman las decisiones sobre si pagar un rescate.

Esto crea dos situaciones que ponen a los ejecutivos bajo una amenaza aún mayor. En primer lugar, hace que un ataque de ransomware a un responsable de la toma de decisiones sea increíblemente eficiente, lo que logra el máximo retorno de la inversión para los actores de amenazas. En segundo lugar, hace que las comunicaciones personales de un ejecutivo de alto nivel sean increíblemente valiosas y particularmente vulnerables. Cuanto más estrictos sean los ciberdelincuentes con las vergonzosas comunicaciones comerciales y privadas amenazadas de liberación, mayores serán sus posibilidades de pago y, a menudo, más podrán exigir.

La triste realidad es que la mayoría de los ejecutivos, y en particular sus subordinados directos, son objetivos increíblemente blandos. Los ciberdelincuentes de hoy cuentan con una tecnología cada vez más sofisticada. Cuando se utilizan herramientas como la tecnología deep fake generada por IA , la simplicidad del ransomware es engañosa en más de un sentido. Cuando los actores de amenazas obtienen acceso a las comunicaciones personales, es ridículamente fácil usar la IA para reflejar el tono y el estilo de personas de las que nunca sospecharía, no solo otro miembro de la C-suite o un líder empresarial, sino un amigo cercano, un cónyuge o un miembro de la familia.

More cybersecurity training is needed.
Los esquemas de ingeniería social, como los ataques de phishing, continúan siendo uno de los vectores más comunes de ransomware y otros ataques de ciberseguridad. Y aunque muchas organizaciones supuestamente están capacitando a los empleados, esos trabajadores aparentemente no retienen lo que les han enseñado.

A recent report by Cloudian found that phishing attacks were successful even though 54 percent of all respondents, and 65 percent of those who reported it as the entry point of a ransomware attack, had taken training. against phishing for employees.
Una mayor concienciación es el principio fundamental en el que se basa una sólida estrategia de ciberseguridad. Aunque muchas organizaciones se centran en la formación diaria de conciencia cibernética del usuario final, también deben considerar el valor de formar a sus profesionales de seguridad y redes.

Para maximizar las inversiones y mejorar la ciberseguridad, la capacitación en conciencia cibernética debe garantizar que los profesionales de seguridad técnica obtengan el conocimiento necesario para optimizar las implementaciones de soluciones para una seguridad mejorada. Al tomar medidas para priorizar la capacitación en concientización sobre seguridad cibernética, las organizaciones y sus empleados pueden adelantarse a las amenazas antes de que puedan tener un impacto.
Al mismo tiempo, la capacitación en ciberseguridad debe llevarse a cabo en todos los ámbitos, lo que incluye a los ejecutivos, a quienes no se puede pasar por alto, dado el acceso que tienen y los enormes objetivos a sus espaldas.

Don’t discriminate – Educate.
El ransomware no discrimina. Hoy, todo el mundo es un objetivo potencial. Si tiene incluso la huella digital más pequeña, se enfrenta al riesgo de ransomware y otros tipos de ataques. Eso es aún más cierto para los ejecutivos, que tienen acceso a datos más confidenciales. Dada esta realidad, las organizaciones deben ampliar la formación en concienciación cibernética en toda la empresa. Ningún empleado es demasiado grande o demasiado pequeño para este tipo de educación. En un mundo donde todos están en riesgo, tiene sentido equipar a cada empleado con la información que necesita para ayudar a vencer el ciberdelito.

Autor: Aamir Lakhani
Fuente https://threatpost.com/cybersecurity-strategy-ransomware/169397/

Threatpost entrevista a Wiz CTO sobre una vulnerabilidad recientemente parcheada por el servicio DNS de Amazon Route53 y Google Cloud DNS.

LAS VEGAS - Amazon y Google parchearon un error del servicio de nombres de dominio (DNS) que permitía a los atacantes fisgonear en la configuración de redes confidenciales de las empresas, revelando los nombres de las computadoras y los empleados junto con las ubicaciones de las oficinas y los recursos web expuestos.

La vulnerabilidad, descrita en una charla de Black Hat USA 2021 la semana pasada, es una nueva clase de vulnerabilidades que afectan a los principales proveedores de DNS como servicio (DNSaaS), según investigadores de la firma de seguridad en la nube Wiz.

Ami Luttwak , cofundador y CTO de Wiz, dijo que el error permite a un adversario realizar un reconocimiento sin precedentes en un objetivo, es decir, cualquier red corporativa vulnerable que inadvertidamente permita este tipo de escuchas en la red.

Bajando por la laguna del DNS.

“Encontramos una laguna simple que nos permitió interceptar una parte del tráfico DNS dinámico mundial que pasa por proveedores de DNS administrados como Amazon y Google. Básicamente, hicimos 'escuchas telefónicas' del tráfico de la red interna de 15.000 organizaciones (incluidas las empresas Fortune 500 y agencias gubernamentales) y millones de dispositivos ”, escribió Wiz en un desglose técnico del error.

Luttwak llama a lo que encontró un "vacío legal" dentro del proceso utilizado para manejar el DNS dinámico ahora obsoleto dentro de las configuraciones modernas del servidor DNS.

“Registramos un nuevo dominio en la plataforma Route 53 con el mismo nombre que su servidor DNS oficial. (Técnicamente, creamos una nueva 'zona alojada' dentro del servidor de nombres de AWS ns-1611.awsdns-09.co.uk y la llamamos 'ns-852.awsdns-42.net') ”, explicaron los investigadores.

A continuación, los investigadores obtuvieron el control de la zona alojada al registrar miles de servidores de nombres de dominio con el mismo nombre que el servidor DNS oficial de DNSaaS. “Siempre que un cliente DNS consulta este servidor de nombres sobre sí mismo (lo que miles de dispositivos hacen automáticamente para actualizar su dirección IP dentro de su red administrada, más sobre eso en un minuto), ese tráfico va directamente a nuestra dirección IP”, escribió Wiz.

Lo que los investigadores observaron a continuación fue una avalancha de tráfico DNS dinámico de máquinas con Windows que consultaban al “servidor de nombres secuestrado” sobre sí mismo. En total, los investigadores perfilaron 15.000 organizaciones (algunas empresas de Fortune 500), 45 agencias gubernamentales de EE. UU. Y 85 agencias gubernamentales internacionales.

¿Mala configuración o vulnerabilidad?.
Los proveedores de DNSaaS Route53 y Google Cloud DNS solucionaron el problema al no permitir el tipo de registro de imitación que reflejaba su propio servidor DNS.

En cuanto a Microsoft, los investigadores dijeron que la empresa consideraba que se trataba de un problema de configuración incorrecta.
“Microsoft podría proporcionar una solución global actualizando su algoritmo de DNS dinámico. Sin embargo, cuando informamos de nuestro descubrimiento a Microsoft, nos dijeron que no lo consideraban una vulnerabilidad, sino más bien una mala configuración conocida que ocurre cuando una organización trabaja con resolutores de DNS externos ”, dijeron los investigadores.

Luttwak dijo que las empresas pueden evitar este tipo de explotación de DNS configurando correctamente sus resolutores de DNS para que las actualizaciones dinámicas de DNS no salgan de la red interna.

Autor: Tom Spring
Fuente https://threatpost.com/black-hat-novel-dns-hack/168636/

Se han descubierto nuevas vulnerabilidades en el sistema de seguridad para el hogar Wi-Fi Fortress S03 que podrían ser abusadas por una parte malintencionada para obtener acceso no autorizado con el objetivo de alterar el comportamiento del sistema, incluido el desarme de los dispositivos sin el conocimiento de la víctima.

Los dos problemas sin parche, rastreados con los identificadores CVE-2021-39276 (puntaje CVSS: 5.3) y CVE-2021-39277 (puntaje CVSS: 5.7), fueron descubiertos e informados por la firma de ciberseguridad Rapid7 en mayo de 2021 con un plazo de 60 días. para arreglar las debilidades.

El sistema de seguridad para el hogar Fortress S03 Wi-Fi es un sistema de alarma de bricolaje que permite a los usuarios proteger sus hogares y pequeñas empresas de ladrones, incendios, fugas de gas y fugas de agua aprovechando la tecnología Wi-Fi y RFID. para entrada sin llave. Los sistemas de seguridad y vigilancia de la empresa son utilizados por "miles de clientes y clientes continuos", según su sitio web.

Calificando las vulnerabilidades como "trivialmente fáciles de explotar", los investigadores de Rapid7 señalaron que CVE-2021-39276 se refiere a un acceso a API no autenticado que permite a un atacante en posesión de la dirección de correo electrónico de una víctima consultar la API para filtrar el número de identidad internacional de equipo móvil (IMEI) del dispositivo. , que también se duplica como el número de serie. Armado con el número IMEI del dispositivo y la dirección de correo electrónico, el adversario puede proceder a realizar una serie de cambios no autorizados, como deshabilitar el sistema de alarma a través de una solicitud POST no autenticada.

CVE-2021-39277, por otro lado, se relaciona con un ataque de reproducción de señal de RF , en el que la falta de cifrado adecuado otorga al mal actor la capacidad de capturar el comando de radiofrecuencia y controlar las comunicaciones por aire utilizando una radio definida por software ( SDR) y reproducir la transmisión para realizar funciones específicas, como operaciones de "armar" y "desarmar", en el dispositivo de destino.

"Para CVE-2021-39276, un atacante con conocimiento de la dirección de correo electrónico de un usuario de Fortress S03 puede desarmar fácilmente la alarma doméstica instalada sin el conocimiento de ese usuario", dijeron los investigadores en un informe compartido con The Hacker News.

"CVE-2021-39277 presenta problemas similares, pero requiere menos conocimiento previo de la víctima, ya que el atacante puede simplemente vigilar la propiedad y esperar a que la víctima use los dispositivos controlados por RF dentro del alcance de la radio. El atacante puede luego reproducir el comando 'desarmar' más tarde, sin el conocimiento de la víctima ".

Rapid7 dijo que notificó a Fortress Security de los errores el 13 de mayo de 2021, solo para que la compañía cerrara el informe 11 días después, el 24 de mayo. Nos comunicamos con Fortress Security para obtener comentarios y actualizaremos la historia si recibimos una respuesta. .
En vista del hecho de que los problemas continúan persistiendo, se recomienda que los usuarios configuren sus sistemas de alarma con una dirección de correo electrónico única y única para evitar la exposición del número IMEI.

"Para CVE-2021-39277, parece que hay muy poco que un usuario pueda hacer para mitigar los efectos de los problemas de reproducción de RF sin una actualización de firmware para hacer cumplir los controles criptográficos en las señales de RF. Los usuarios preocupados por esta exposición deben evitar el uso de llaveros y otros dispositivos de RF vinculados a sus sistemas de seguridad domésticos ", dijeron los investigadores.

Autor: Ravie Lakshmanan
Fuente https://thehackernews.com/2021/08/attackers-can-remotely-disable-fortress.html

La explotación y el abuso relacionados con COVID-19 están aumentando a medida que los datos de las vacunas abren nuevas fronteras para los actores de amenazas.

Esta semana, el Departamento de Salud de Indiana emitió un aviso de que el sistema de rastreo de contactos COVID-19 del estado había sido expuesto a través de una mala configuración en la nube, revelando nombres, correos electrónicos, género, etnia, raza y fechas de nacimiento de más de 750,000 personas.

El incidente muestra que los datos de COVID-19 podrían estar preparados para el abuso y el uso indebido, según los expertos, que ahora se recopilan sobre millones de personas en todo el mundo. La pregunta es si se está protegiendo adecuadamente de los actores de amenazas. Y resulta que podría haber algo de trabajo por hacer en el frente de seguridad.

Mientras tanto, el fraude de la vacuna COVID-19 también está en aumento, lo que demuestra que la pandemia todavía ofrece una rica vena para los ciberdelincuentes de todos los tipos.

When it comes to the contact tracing incident, “We believe the risk to Hoosiers residents whose information was accessed is low,” State Health Commissioner Kris Box, MD, said in a statement. “We did not collect Social Security information as part of our contact tracing program and we did not obtain medical information. We will provide adequate protections for anyone affected.”

Resulta que el Departamento de Salud de Indiana tenía razón a medias; la amenaza era baja. La empresa que accedió a la información era una empresa de ciberseguridad llamada UpGuard, que encontró una API mal configurada, insegura y visible para cualquier persona en Internet. Cuando UpGuard alertó a los funcionarios de Indiana, no parecieron entender que UpGuard estaba tratando de ayudar, no abusar de sus datos.

Datos de seguimiento de contactos de Indiana no protegidos
In response to a report by UpGuards security researchers that data was not protected, the Indiana Department of Health said the company gained “unauthorized access” to its contact tracing database, according to the AP report. . The state also claimed that UpGuard “improperly accessed” the data, apparently without understanding that UpGuard was trying to help them improve their cybersecurity posture.

“Por un lado, nuestra empresa no 'accedió indebidamente' a los datos. Los datos se dejaron accesibles al público en Internet ”, dijo Kelly Rethmeyer, portavoz de la compañía UpGuard. “Esto se conoce como fuga de datos. No estaba desautorizado porque los datos se configuraron para permitir el acceso a usuarios anónimos y accedimos a ellos como un usuario anónimo ".
La Oficina de Tecnología de Indiana dijo más tarde que el problema de configuración del software se solucionó y solicitó a UpGuard que devolviera los registros accedidos, lo cual hizo.

Aunque el problema se ha solucionado y la API ahora está asegurada, la aparente confusión en torno a una divulgación de una empresa de ciberseguridad muestra que los gobiernos locales podrían no ser plenamente conscientes de los riesgos o las herramientas disponibles para ayudar a apuntalar la ciberseguridad, como poder trabajar. con la comunidad de investigadores de manera eficaz para mitigar las vulnerabilidades notificadas.
No obstante, los municipios de todo el mundo están recopilando grandes cantidades de datos a través de los programas de rastreo de contactos COVID-19, como el de Indiana, y el mantenimiento de registros de vacunas.

"Estamos en una pandemia de violación de datos", dijo Rethmeyer de UpGuard a Threatpost.
Tarjetas COVID-19 falsificadas
Mientras tanto, Flashpoint también ha publicado un informe que detalla un aumento en los ciberdelincuentes que venden certificados de vacuna COVID-19 falsificados y otra documentación de salud pública relacionada con COVID-19 en reacción a un aumento en los negocios estadounidenses que requieren prueba de vacunación antes de congregarse en espacios públicos.

El informe de Flashpoint agregó que estas credenciales falsas están disponibles en varios canales cerrados subterráneos, como foros subterráneos, salas de chat y más.

Flashpoint observó a un ciberdelincuente llamado "Freedom" anunciando documentación de vacunas falsa proporcionada con la ayuda de médicos.

“Los analistas de Flashpoint creen que este anuncio se colocó en un canal de bloqueo anti-COVID para dirigirse a los clientes que son escépticos sobre las vacunas y los bloqueos en los EE. UU.”, Dice el informe.

Otra persona llamada "BigDOCS" estaba ofreciendo cartas que declaraban que alguien dio negativo en la prueba de COVID-19, por $ 40. Otro vendedor de certificados falsificados estaba ofreciendo una tarjeta de vacuna falsa por $ 100, y por $ 125 el destinatario puede recibirla durante la noche.

Otro estafador en Telegram afirmó que podía producir una tarjeta de vacuna para una vacuna de Pfizer o Johnson & Johnson.

Se pueden comprar documentos fraudulentos similares para su uso en toda la Unión Europea, agregó Flashpoint. En el foro clandestino Nulled, los investigadores encontraron un certificado de vacuna de la UE a la venta por $ 450.

“El actor de amenazas que anuncia el certificado mencionó que también es un escéptico de las vacunas que no confía en el gobierno y no quiere verse obligado a vacunarse”, informó Flashpoint.

Flashpoint incluso encontró una plantilla de vacuna CDC COVID-19 en blanco disponible de forma gratuita en 4chan.

“Los analistas de Flashpoint han observado a los actores de amenazas en el tablero de imágenes de 4chan que comparten plantillas de vacunas CDC COVID-19, a las que se puede acceder de forma gratuita a través de fuentes web abiertas”, dice el informe.

Con los delincuentes decididos a eludir los requisitos de salud pública para las vacunas, las pruebas y el rastreo de contactos, los gobiernos tendrán que mantenerse al día.

Author: Becky Bracken.

Fuente: https://threatpost.com/covid-contact-tracing-exposed-fake-vax-cards/168821/