Editor YPT

Europol ha anunciado la detención de 12 personas que se cree que están vinculadas a ataques de ransomware contra 1.800 víctimas en 71 países.

Según el informe de la policía, los actores han desplegado cepas de ransomware como LockerGoga, MegaCortex y Dharma, así como malware como Trickbot y herramientas posteriores a la explotación como Cobalt Strike.

LockerGoga apareció por primera vez en la naturaleza en enero de 2019, cuando llegó a 'Altran Technologies',una consultora francesa de ingeniería e I + D, parte del grupo Capgemini.

Las infecciones de LockerGoga y MegaCortex culminaron durante ese año, con un informe del Centro Nacional de Seguridad Cibernética (NCSC) en los Países Bajos que atribuye 1.800 infecciones a Ryuk y las dos cepas.

El caso más notable vinculado a los sospechosos es un ataque de 2019 contra Norsk Hydro, el gigante noruego de la producción de aluminio, que causó interrupciones graves y prolongadas en las operaciones de la compañía.

Hoy, la policía noruega publicó un anuncio relevante diciendo que nunca dejaron de cazar a los actores de la amenaza, trabajando con contrapartes extranjeras para derribarlos.

Los arrestos tuvieron lugar en Ucrania y Suiza el 26 de octubre de 2021, y como resultado de las redadas simultáneas, la policía incautó cinco vehículos de lujo, dispositivos electrónicos y $ 52,000 en efectivo.

Como explica Europol,los individuos arrestados se consideran objetivos de alto valor en el sentido de que se cree que han encabezado múltiples casos de ransomware de alto perfil.

Como tal, el examen forense y los interrogatorios que siguen a la acción serán extensos y muy probablemente pueden traer nuevas pistas de investigación.

Organización de cibercrimen altamente organizada

Los ciberdelincuentes cumplieron funciones especializadas en una organización criminal altamente organizada, siendo cada persona responsable de distintos aspectos operativos.

Algunos participaron en la penetración de la red, otros en ataques de fuerza bruta, mientras que otros realizaron inyecciones SQL o manejaron operaciones de phishing de credenciales.

En la etapa posterior a la infección, sus roles se transpusieron a un nuevo dominio, con los actores desplegando malware, reconocimiento de red y herramientas de movimiento lateral, robando cuidadosamente los datos mientras no eran detectados.

Eventualmente, los actores cifraron los sistemas comprometidos y dejaron notas de rescate exigiendo a las víctimas que pagaran cantidades exorbitantes de dinero en Bitcoin a cambio de claves de descifrado.

Se cree que algunas de las personas que fueron arrestadas ahora están a cargo de la operación de lavado de dinero, utilizando servicios de mezcla de Bitcoin para ocultar el rastro de dinero.

Esta operación es un éxito masivo de aplicación de la ley, posible gracias a más de 50 investigadores de siete departamentos de policía europeos, seis especialistas de Europol y miembros del FBI y el Servicio Secreto de los Estados Unidos.

Por: Bill Toulas

Fuente: https://www.bleepingcomputer.com/news/security/police-arrest-hackers-behind-over-1-800-ransomware-attacks/

Articulos

Así es como los hackers están burlando la autenticación de dos factores

Editor YPT 02/11/2021

La combinación de un nombre de usuario y una contraseña ha dejado de ser un método seguro para acceder a los servicios en línea. Algunos estudios recientes estiman en más de un 80% el porcentaje de ataques informáticos que se originan con credenciales comprometidas o débiles. Sólo en 2016, por ejemplo, se robaron unos 3.000 millones de combinaciones de nombres de usuario y contraseñas. Por eso, la implementación de la autenticación de dos factores (2FA) se ha venido imponiendo como una precaución necesaria. De manera general, la 2FA tiene como objetivo proporcionar una capa adicional de seguridad al sistema, enviando un código personalizado al usuario para verificar el inicio de sesión.

Y las cifras han avalado su éxito, algunos estudios señalan que los proveedores que tienen activada la 2FA bloquean alrededor del 99,9% de los ataques automatizados. El problema es que, como ocurre con cualquier solución de ciberseguridad, los hackers están encontrando formas de burlarla. No es tarea fácil, pero algunos lo están consiguiendo interceptando los códigos de un solo uso que se envían en forma de SMS al smartphone del usuario. Por ejemplo, se ha demostrado que mediante estafas de SIM Swapping (intercambio de SIM) es posible eludir la 2FA; este método implica que un atacante convenza al proveedor de servicios móviles de que él es la víctima y luego solicite que el número de teléfono del propietario se cambie a un dispositivo de su elección.

Pero no es el único método. Los códigos de un solo uso basados en SMS pueden ser comprometidos a través de herramientas de proxy inverso, como Modlishka. Un proxy inverso es un tipo de servidor que recupera recursos en nombre de un cliente desde uno o más servidores distintos. Estos recursos se devuelven después al cliente como si se originaran en ese servidor Web. Pero algunos hackers lo están modificando para reconducir el tráfico a páginas de inicio de sesión y a operaciones de phishing; en esos casos, el hacker intercepta la comunicación entre un servicio auténtico y una víctima, y rastrea (y registra) las interacciones de las víctimas con el servicio, incluidas las credenciales de inicio de sesión.

Ataques vía Play Store

Además de estas vulnerabilidades, expertos en seguridad han encontrado otros tipos de ataques contra la 2FA basados en SMS. Uno en particular aprovecha una función proporcionada en Google Play Store para instalar automáticamente aplicaciones desde la web en dispositivos Android. El atacante obtiene acceso a las credenciales para iniciar sesión en tu cuenta de Google Play en un portátil (aunque en teoría tienes que recibir un aviso a tu smartphone), para después operar en tu teléfono cualquier aplicación que desee.

Una variante similar de este sistema implica el uso de una aplicación especializada diseñada para sincronizar las notificaciones del usuario en diferentes dispositivos. Los atacantes pueden aprovechar una combinación comprometida de correo electrónico y contraseña asociadas a una cuenta de Google para instalar una aplicación de duplicación de mensajes accesible gracias a Google Play. Y, una vez instalada la aplicación, el atacante puede utilizar técnicas de ingeniería social para convencer al usuario de que habilite los permisos necesarios para que la app funcione correctamente.

Gestor de contraseñas

Aunque deben cumplirse varias condiciones para que los ataques mencionados funcionen, estos demuestran vulnerabilidades en los métodos 2FA basados en SMS. Y lo que es más importante, estos ataques no requieren capacidades técnicas de alto nivel. Simplemente saber cómo funcionan estas aplicaciones específicas y cómo utilizarlas de forma inteligente (con ingeniería social) para atacar a una víctima.

Para permanecer protegido en línea, debes comprobar si tu línea de defensa inicial es segura. En primer lugar, comprueba tu contraseña para ver si está comprometida. Hay varios programas de seguridad que te permiten hacerlo. Y asegúrate de que utilizas una contraseña bien elaborada. El uso de un gestor de contraseñas es una forma eficaz de hacer más segura la primera línea de autenticación, que es el inicio de sesión con nombre de usuario y contraseña. También es recomendable que limites el uso de SMS como método de 2FA si puedes; en su lugar puedes utilizar códigos de un solo uso basados en la aplicación, como por ejemplo a través de Google Authenticator. En este caso, el código se genera dentro de la aplicación en tu dispositivo, en lugar de enviártelo.

Fuente: https://www.pandasecurity.com/es/mediacenter/seguridad/hackers-autenticacion/

Gran empresa de tecnología china asaltada por el FBI después de acusaciones de ayudar a ciberataques

Editor YPT 30/10/2021

La compañía, que vende terminales de punto de venta, recientemente fue revisada por los federales.

Una destacada empresa de tecnología china que vende hardware a empresas de todo el mundo se encuentra actualmente bajo investigación tras ser acusada de facilitar ciberataques a varios objetivos estadounidenses y europeos.

El martes, un enjambre de agentes del FBI allanó las oficinas de Florida de Pax Technology , un gran fabricante de puntos de venta de propiedad china que vende millones de terminales de pago (POS) a empresas de todo el mundo. Los terminales POS son esencialmente quioscos de pago . Si bien es posible que no reconozca el término, definitivamente ha usado uno antes. Se pueden encontrar prácticamente en todas partes, desde supermercados hasta estaciones de servicio y su barra de buceo local (donde sea que necesite deslizar una tarjeta de crédito, habrá una terminal POS).

La noticia de la incursión en PAX fue originalmente roto por WOKV , una salida de noticias locales de Florida, que informó el martes que el FBI, el Departamento de Seguridad Nacional, y otros funcionarios de la agencia estaban llevando a cabo “una investigación” en el almacén de la empresa en Jacksonville. Cuando los periodistas le preguntaron, el FBI emitió la siguiente declaración sobre sus actividades:

“La División de Jacksonville del FBI, en asociación con Investigaciones de Seguridad Nacional, Aduanas y Protección Fronteriza, Departamento de Comercio y Servicios de Investigación Criminal Naval, y con el apoyo de la Oficina del Sheriff de Jacksonville, está ejecutando una búsqueda autorizada por el tribunal en este lugar para promover de una investigación federal. No tenemos conocimiento de ninguna amenaza física para la comunidad circundante relacionada con esta búsqueda. La investigación permanece activa y en curso y no se puede confirmar información adicional en este momento ".

Si bien eso no nos da mucha claridad sobre la situación, el periodista de seguridad Brian Krebs ha informado que la compañía está siendo investigada por su posible papel en la facilitación de ataques cibernéticos a varios objetivos estadounidenses y europeos. Una fuente confiable le dijo a Krebs que los dispositivos de punto de venta de la compañía supuestamente se estaban utilizando como un espacio de almacenamiento para malware, así como un centro de "comando y control", mediante el cual se podían implementar ataques y robar datos.

"El FBI y el MI5 están llevando a cabo una investigación intensiva sobre PAX", dijo la fuente a Krebs . "Un importante procesador de pagos de EE. UU. Comenzó a hacer preguntas sobre paquetes de red que se originaban en terminales PAX y no recibió ninguna buena respuesta".

Ese procesador de pagos parecería ser Worldpay de FIS . El miércoles, Bloomberg News informó que la compañía había comenzado recientemente a reemplazar los dispositivos de punto de venta fabricados por PAX por los fabricados por dos empresas competidoras. Los reemplazos, que comenzaron antes de la noticia de la investigación federal, fueron estimulados por preocupaciones sobre la extraña actividad de la red que emana de los terminales POS de PAX. Cuando se le preguntó acerca de la actividad de Worldpay, PAX supuestamente no dio "respuestas satisfactorias", dijo un portavoz al medio.

Krebs señala, y es un hecho bien conocido , que los terminales de punto de venta son objetivos comunes para los ciberdelincuentes y que los dispositivos son frecuentemente secuestrados por grupos de hackers con el propósito de robar credenciales y distribuir malware. No se requeriría que una empresa se involucre criminalmente para que su equipo sea confiscado y, según informes, PAX ha afirmado que las investigaciones sobre su negocio tienen “motivaciones raciales y políticas”, escribe Krebs.

Cuando se le contactó para hacer comentarios, un representante de PAX le proporcionó a Gizmodo una declaración que ha estado compartiendo con los clientes. Lo hemos reproducido parcialmente aquí. Según la empresa, no han sido acusados de ningún "delito":

Es posible que sepa que ayer el almacén y la oficina de PAX Technology Inc. en Jacksonville (Florida, EE. UU.) Fueron objeto de una visita inesperada de una agencia de aplicación de la ley en relación con una investigación en curso. Ninguna alegación de infracción se ha hecho contra PAX a partir del martes 26 ^º de octubre de 2021.

Entonces, sí, todo está un poco confuso en cuanto a lo que está sucediendo aquí, aparte de una gran cantidad de interrupciones comerciales para PAX . Nos comunicamos con el Departamento de Justicia para obtener más comentarios y actualizaremos esta historia si responden.

Por: Lucas Ropek

Fuente: https://gizmodo.com/large-chinese-tech-firm-raided-by-the-fbi-after-accusat-1847945890