Nombre del autor:jcamhi

A principios de enero, Gcore enfrentó un incidente que involucró varios ataques DDoS L3/L4 con un volumen máximo de 650 Gbps. Los atacantes explotaron más de 2000 servidores pertenecientes a uno de los tres proveedores de nube más importantes del mundo y se dirigieron a un cliente que usaba un plan CDN gratuito. Sin embargo, debido a la distribución de la infraestructura de Gcore y una gran cantidad de socios de emparejamiento, los ataques se mitigaron y la aplicación web del cliente permaneció disponible. ¿Por qué fue tan importante mitigar estos ataques? El ancho de banda promedio de este tipo de ataque es generalmente de decenas de Gbps (alrededor de 10 Gbps). Por lo tanto, los ataques especificados (a 650 Gbps) excedieron el valor promedio en 60 veces. Los ataques de este volumen son raros y son de particular interés para los expertos en seguridad. Además, este valor (650 Gbps) es comparable al ataque DDoS récord en el servidor de Minecraft más grande (2,4 Tbps), solo una cuarta parte de la masa. ¿Cuáles eran las especificaciones técnicas de los ataques? La duración del incidente fue de 15 minutos y, en su punto máximo, alcanzó más de 650 Gbps. Una posible razón por la que el incidente tomó tanto tiempo es que los atacantes sopesaron la ineficacia de los ataques (la aplicación del cliente siguió ejecutándose) frente a su alto costo. El incidente consistió en tres ataques con diferentes vectores. Están marcados con picos de tráfico en el siguiente diagrama: Ataque de inundación UDP (~650 Gbps). Se enviaron cientos de millones de paquetes UDP al servidor de destino para consumir el ancho de banda de la aplicación y provocar su indisponibilidad. Los ataques de este vector utilizan la falta de requisitos de establecimiento de conexión UDP: los atacantes pueden enviar paquetes con cualquier dato (aumenta el volumen) y utilizar direcciones IP falsificadas (dificulta encontrar al remitente).Ataque de inundación TCP ACK (~600 Gbps). Se envió una gran cantidad de paquetes con el indicador ACK al servidor de destino para desbordarlo. Los ataques de este vector se basan en el hecho de que los paquetes TCP basura no incluyen una carga útil, pero el servidor se ve obligado a procesarlos y es posible que no tenga suficientes recursos para manejar las solicitudes de los usuarios finales reales. El sistema de protección de una CDN es capaz de filtrar paquetes y no reenviarlos al servidor si no contienen cargas útiles y no están vinculados a una sesión TCP abierta.Una mezcla de TCP y UDP (~600 Gbps). Una variación personalizada de los dos tipos de ataques anteriores.La particularidad del incidente fue que los ataques se realizaron desde múltiples direcciones IP no falsificadas. Esto permitió a los especialistas identificar que los atacantes utilizaron 2143 servidores en 44 regiones diferentes, y todos los servidores pertenecían a un único proveedor de nube pública. El uso de Anycast permitió a Gcore absorber el ataque al 100 % en las conexiones de intercambio con este proveedor. Diagrama de Sankey que muestra el origen y el flujo del ataque. Los nombres de las ubicaciones de la primera columna están asociados con uno de los 3 principales proveedores de nube. ¿Por qué los ataques no afectaron al cliente? 1. La conectividad de Gcore a través de interconexión con muchas ubicaciones desempeñó un papel clave en la mitigación de los ataques. Gcore tiene más de 11 000 socios de emparejamiento (ISP), y estos socios conectan sus redes mediante cables y se brindan acceso al tráfico que se origina en sus redes. Estas conexiones permiten eludir la Internet pública y absorber directamente el tráfico de los socios de intercambio. Además, este tráfico es gratuito o cuesta mucho menos que el tráfico en Internet público. Este bajo costo permite proteger el tráfico de clientes en un plan gratuito. En el contexto del ataque DDoS que ocurrió, el nivel de conectividad benefició enormemente la eficacia de la mitigación. Gcore y el proveedor de la nube utilizado para lanzar el ataque son socios de emparejamiento, por lo que mientras ocurría el ataque, Gcore pudo ingerir la mayor parte del tráfico a través de la red privada del proveedor de la nube. Esto redujo en gran medida la cantidad de tráfico que debía manejar la Internet pública. La interconexión privada también permite un filtrado más preciso y una mejor visibilidad de los ataques, lo que conduce a una mitigación de ataques más eficiente. 2. La gran capacidad de Gcore, debido a la colocación de servidores en muchos centros de datos, también influyó. Los servidores perimetrales de Gcore están presentes en más de 140 puntos de presencia y se basan en procesadores escalables Intel® Xeon® de 3ra generación de alto rendimiento. La capacidad total de la red supera los 110 Tbps. Con más de 500 servidores ubicados en centros de datos en todo el mundo, la empresa puede resistir ataques DDoS a gran escala. Entonces, los 650 Gbps de tráfico podrían distribuirse a través de la red, y cada servidor en particular solo recibiría 1-2 Gbps, lo cual es una carga insignificante. Tendencias de seguridad Según la experiencia de Gcore, los ataques DDoS seguirán creciendo año tras año. En 2021, los ataques alcanzaron los 300 Gbps y para 2022 habían aumentado a 700 Gbps. Por lo tanto, incluso las pequeñas y medianas empresas necesitan utilizar redes de entrega de contenido distribuido, como CDN y la nube, para protegerse contra los ataques DDoS.

Una campaña activa de malware ha puesto su mira en los usuarios de Facebook y YouTube aprovechando un nuevo ladrón de información para secuestrar las cuentas y abusar de los recursos de los sistemas para extraer criptomonedas. Bitdefender llama al malware S1deload Stealer por su uso de técnicas de carga lateral de DLL para superar las defensas de seguridad y ejecutar sus componentes maliciosos. «Una vez infectado, S1deload Stealer roba las credenciales de los usuarios, emula el comportamiento humano para aumentar artificialmente la participación de videos y otros contenidos, evalúa el valor de las cuentas individuales (como identificar a los administradores de redes sociales corporativas), extrae la criptomoneda BEAM y propaga el enlace malicioso a la seguidores de los usuarios», dijo el investigador de Bitdefender Dávid ÁCS . Dicho de otra manera, el objetivo de la campaña es tomar el control de las cuentas de Facebook y YouTube de los usuarios y alquilar el acceso para aumentar el número de vistas y los me gusta de los videos y las publicaciones compartidas en las plataformas. Se estima que más de 600 usuarios únicos se vieron afectados durante el período de seis meses entre julio y diciembre de 2022. La mayoría de las infecciones se encuentran en Rumania, Turquía, Francia, Bangladesh, México, Perú y Canadá. Para llevar a cabo el esquema, los usuarios son atraídos con contenido para adultos a través de publicaciones de Facebook que contienen enlaces a archivos ZIP que, cuando se extraen, desencadenan una intrincada secuencia de infección que conduce a la implementación del malware. «El autor del malware, por lo tanto, puede crear un ciclo de retroalimentación: cuantas más PC pueda infectar, más spam podrá generar en Facebook, más clics podrá generar para infectar más PC», dijo Bitdefender. Además de ser capaz de descargar módulos adicionales en el host comprometido, el malware también es responsable de iniciar un navegador Chrome sin interfaz gráfica de usuario que utiliza una extensión para inflar artificialmente las vistas de videos de YouTube. El ladrón captura además las credenciales guardadas y las cookies de los navegadores web, realiza verificaciones del perfil de Facebook y también carga un cryptojacker que extrae criptomonedas sin el conocimiento o consentimiento de la víctima. Bitdefender dijo que encontró superposiciones de infraestructura con un sitio web llamado upview[.]us que anuncia opciones para comprar vistas, me gusta y suscriptores de YouTube, así como opciones para aumentar los me gusta, comentarios, seguidores y vistas de videos de publicaciones en Facebook. «El ladrón S1deload tiene serias implicaciones de privacidad para la víctima infectada con él», dijo la compañía rumana. «El malware extrae las credenciales guardadas de la víctima, incluido el correo electrónico, las redes sociales o incluso las cuentas financieras. El actor de la amenaza puede acceder a estas cuentas o venderlas en la web oscura».

Los actores de amenazas han estado aprovechando el sistema de pagos en línea PayPal para enviar facturas maliciosas directamente a los usuarios a través de la plataforma. La campaña fue descubierta recientemente por investigadores de seguridad de Avanan, una empresa de Check Point, que dijeron que era diferente de las campañas anteriores vistas por la compañía. “Esto es diferente de la gran cantidad de ataques que hemos visto que suplantan a PayPal. Se trata de una factura maliciosa que procede directamente de PayPal”, se lee en un aviso publicado hoy. El correo electrónico de phishing visto como parte de la campaña maliciosa, advertía a los usuarios de que se había producido un fraude en la cuenta y amenazaba con una multa de 699,99 dólares si la víctima no tomaba medidas. Sin embargo, el director de contenidos de marketing de Avanan, Jeremy Fuchs, escribió que el cuerpo del correo electrónico podría alertar a algunos usuarios precavidos de que el mensaje no era auténtico. “En primer lugar, la gramática y la ortografía están por todas partes. En segundo lugar, el número de teléfono que indican no está relacionado con PayPal”. Al mismo tiempo, Fuchs dijo que algunos usuarios pueden decidir llamar al número de teléfono para obtener más información sobre el correo electrónico. “El objetivo general es llamar al número o hacer un seguimiento para obtener más detalles. Si llamas a ese número, ahora tienen tu número de móvil y pueden utilizarlo para más ataques. Y es otra oportunidad para estafarte por teléfono”. Según el equipo de Avanan, las ventajas de utilizar PayPal para los actores de amenazas son varias, entre ellas la posibilidad de enviar muchas facturas a la vez y darles un aspecto profesional. Para protegerse de este tipo de ataques, Avanan recomienda a los equipos de seguridad que investiguen los números de teléfono que aparecen en los correos electrónicos antes de llamarles. También deberían implantar métodos avanzados para determinar si un correo electrónico está limpio y fomentar una cultura de transparencia para que los usuarios pidan ayuda a TI en caso necesario. La campaña detectada por Avanan se produce semanas después de que PayPal notificara a miles de clientes estadounidenses que sus nombres de usuario se habían visto comprometidos hace más de un mes.

Meta, empresa propietaria de Facebook, WhatsApp e Instagram, ha pagado durante años a la empresa de recopilación de datos Bright Data a cambio de sus servicios de raspado de web, mientras condenaba públicamente esta práctica y demandaba a otras empresas que extraían datos de sus propias plataformas y redes sociales. El raspado de web o ‘web scraping’ es una técnica que utiliza programas de ‘software’ para extraer información de sitios web, normalmente, simulando la navegación de un … Leer más: https://www.europapress.es/portaltic/ciberseguridad/noticia-meta-pago-anos-extraccion-datos-otros-sitios-web-mientras-condenaba-publicamente-practica-20230203131022.html (c) 2023 Europa Press. Está expresamente prohibida la redistribución y la redifusión de este contenido sin su previo y expreso consentimiento.

GoDaddy admite que una brecha permitió que ciberdelincuentes accedieran durante «varios años» a la red de la empresa GoDaddy ha reconocido que un grupo de actores maliciososo tuvieron acceso a la red de la empresa «durante varios años» por una brecha, tiempo durante el cual los ciberdelincuentes lograron instalar ‘malware’ en su red y robaron parte de su código fuente.    La compañía ha expuesto un informe anual e el que analiza las diferentes formas de negocio por las que ha optado en el ejercicio anterior, los factores de riesgo a los que se ha enfrentado, así como el análisis sobre la situació … Leer más: https://www.europapress.es/portaltic/ciberseguridad/noticia-godaddy-admite-brecha-permitio-ciberdelincuentes-accedieran-varios-anos-red-empresa-20230220112744.html (c) 2023 Europa Press. Está expresamente prohibida la redistribución y la redifusión de este contenido sin su previo y expreso consentimiento.

Fecha de publicación: 15/02/2023 Importancia: Crítica Recursos afectados: Descripción: El boletín de enero de Microsoft detalla 102 vulnerabilidades, de las cuales 9 son de severidad crítica, 71 de severidad importante, 3 de severidad moderada, 2 de severidad baja y 17 sin severidad asignada. Solución: En la mayor parte de los casos, el software afectado se actualizará automáticamente por defecto. No obstante, en el caso de que no se realizase dicha actualización de forma automática, Microsoft pone a disposición de los usuarios un portal web con toda la información relacionada, así como los parches de los productos afectados para su descarga y que se puede consultar aquí: ‘Guía de actualizaciones de seguridad de Microsoft’. Se recomienda actualizar lo antes posible el software afectado a la última versión y activar las actualizaciones automáticas en caso de que no se estén aplicando por defecto. Las actualizaciones de Windows 10 son acumulativas. La versión mensual de seguridad incluye todas las correcciones de seguridad para las vulnerabilidades, además de actualizaciones no relacionadas con la seguridad. Los usuarios que tengan instalados Windows Server 2008 R2 o Windows Server 2008 alojados en Azure necesitan adquirir el Extended Security Update para seguir recibiendo las actualizaciones de seguridad. Recuerda la importancia de mantener tus sistemas y aplicaciones siempre actualizados: Detalle: Las vulnerabilidades publicadas se corresponden con los siguientes tipos: 

El grupo de ransomware, LockBit, ha publicado un registro de conversaciones entre sus operadores y un negociador de Royal Mail que muestra que el grupo exigió 65,7 millones de libras (79,85 millones de dólares) para devolver de forma segura los datos robados de la compañía tras un ciberataque en enero. Horas después del incidente, se informó de que la banda LockBit reivindicaba la autoría del ataque, que interrumpió las operaciones de Royal Mail durante varios días. El grupo de piratas informáticos filtró la conversación completa entre ellos y un negociador de Royal Mail, que, según ITPro, duró casi tres semanas. “Cuando LockBit pasa a publicar la conversación de la negociación, suele ocurrir después de los hechos, cuando ya han dado por perdida cualquier posibilidad de cobrar, para que sirva de disuasión a futuras víctimas”, explica Tim Mitchell, investigador de seguridad y responsable temático de LockBit en Secureworks. “El mensaje es: si no pagas, podemos publicar archivos y compartir estos datos también. Pero una táctica así también puede dejar la puerta abierta a posteriores negociaciones”. Por ejemplo, la transcripción de las negociaciones muestra al actor de la amenaza intentando convencer a Royal Mail de que pague el rescate utilizando varias técnicas. La primera fue demostrar que el desencriptador de los archivos robados funcionaba; la segunda, reducir el importe del rescate a unos 57,4 millones de libras (69,76 millones de dólares). Al final, Royal Mail no pagó el rescate, y el plazo final del actor de la amenaza era el 9 de febrero. A pesar de ello, en el momento de escribir estas líneas, LockBit no ha hecho públicos los datos supuestamente robados.

Investigadores de seguridad han descubierto otra cantidad considerable de paquetes maliciosos en los registros de código abierto npm y PyPI, que podrían causar problemas si los desarrolladores los descargan sin darse cuenta. En enero, Sonatype dijo que había encontrado 691 paquetes npm maliciosos y 49 componentes PyPI maliciosos que contenían mineros de criptomonedas, troyanos de acceso remoto (RAT) y más. Los descubrimientos de la herramienta de IA de la firma elevan su botín total a casi 107,000 paquetes marcados como maliciosos, sospechosos o pruebas de concepto desde 2019. Incluye varios paquetes que contienen el mismo archivo malicioso package.go, un troyano diseñado para minar criptomonedas desde sistemas Linux. Dieciséis de ellos fueron rastreados hasta el mismo actor, trendava, que ahora ha sido eliminado del registro npm, según Sonatype. Otros hallazgos incluyen el malware PyPI “minimums”, diseñado para comprobar la presencia de una máquina virtual (VM) antes de ejecutarse. La idea es interrumpir los intentos de los investigadores de seguridad, que a menudo ejecutan malware sospechoso en máquinas virtuales, para averiguar más sobre la amenaza. El proveedor de seguridad también descubrió un nuevo malware Python que combina las capacidades de una RAT y un ladrón de información. Por último, encontró un desarrollador de aspecto sospechoso conocido como “infinitebrahamanuniverse” que subió más de 33.000 paquetes autodescritos como subpaquetes de “no-one-left-behind”, o “nolb”. Este último fue eliminado la semana pasada, después de que el equipo de seguridad de npm descubriera que dependía de todos los demás paquetes npm conocidos disponibles públicamente.

Apple ha publicado actualizaciones de seguridad de emergencia para solucionar una nueva vulnerabilidad de día cero utilizada en ataques para piratear iPhones, iPads y Macs. El día cero parcheado, en esta oportunidad, es rastreado como  CVE-2023-23529 [1, 2] y es un problema de confusión WebKit que podría ser explotado para desencadenar bloqueos del sistema operativo y obtener la ejecución de código en dispositivos comprometidos. Una explotación exitosa permite a los atacantes ejecutar código arbitrario en dispositivos que ejecutan versiones vulnerables de iOS, iPadOS y macOS después de abrir una página web maliciosa. Apple abordó  CVE-2023-23529 con comprobaciones mejoradas en iOS 16.3.1, iPadOS 16.3.1 y macOS Ventura 13.2.1. La lista completa de dispositivos impactados es bastante extensa, ya que el fallo afecta a modelos más antiguos y más recientes, e incluye: iPad Pro (todos los modelos), iPad Air de 3ª generación y posteriores, iPad de 5ª generación y posteriores, y iPad mini de 5ª generación y posteriores Macs con macOS Ventura 13.2.1 Apple también ha parcheado un fallo kernel use after free ( CVE-2023-23514) reportado por Xinru Chi de Pangu Lab y Ned Williamson de Google Project Zero que podría llevar a código arbitrario con privilegios del kernel en Macs y iPhones. Aunque la compañía ha revelado que está al tanto de los informes de exploits in-the-wild, aún no ha publicado información relativa a estos ataques. Al restringir el acceso a esta información, es probable que Apple quiera permitir que el mayor número posible de usuarios actualice sus dispositivos antes de que más atacantes aprovechen los detalles del día cero para desarrollar y desplegar sus propios exploits personalizados dirigidos a iPhones, iPads y Mac vulnerables. Aunque es probable que este fallo de día cero sólo se haya utilizado en ataques selectivos, se recomienda encarecidamente instalar las actualizaciones de emergencia de hoy lo antes posible para bloquear posibles intentos de ataque.

Un mezclador de criptodivisas sancionado, fue relanzado bajo un nombre diferente para evadir el escrutinio de Estados Unidos y posteriormente, se ha utilizado para limpiar dinero digital para Corea del Norte, según Elliptic. La compañía de análisis de blockchain dijo que el mezclador de criptomonedas Blender, que fue sancionado por los Estados Unidos después de ayudar a Pyongyang a lavar los ingresos de su ataque Axie Infinity, fue rebautizado como Sinbad. Después de su lanzamiento en octubre de 2022, Sinbad se utilizó por primera vez para lavar fondos del atraco de 100 millones de dólares de Horizon, y desde entonces ha limpiado decenas de millones en criptomonedas robadas para la nación ermitaña, según Elliptic. En 2022, se robó la cifra récord de 3.800 millones de dólares de empresas de criptomonedas, de los cuales 1.700 millones fueron sustraídos por hackers norcoreanos, según Chainalysis.