Noticias Ciberseguridad

ARRESTAN A 18 HACKERS INVOLUCRADOS EN ROBO DE CAJEROS AUTOMÁTICOS Y FRAUDE BANCARIO

Posted on

ORIGINAL CONTENT: https://noticiasseguridad.com/hacking-incidentes/arrestan-a-18-hackers-involucrados-en-robo-de-cajeros-automaticos-y-fraude-bancario/

El Departamento de Justicia de E.U. (DOJ) ha asestado un duro golpe al cibercrimen. Expertos en análisis de vulnerabilidades reportan que las autoridades americanas han arrestado a 18 hackers de diversos países presuntamente involucrados en múltiples fraudes financieros, robando decenas de millones de dólares tanto de los sistemas bancarios como de los usuarios.

El DOJ menciona que estos ciberciminales están implicados en el robo de cajeros automáticos y el lavado de dinero en al menos 17 estados de la unión americana.

Según los reportes de los expertos en análisis de vulnerabilidades, los hackers han sido acusados de cometer múltiples delitos, entre ellos el fraude bancario, fraude con dispositivos electrónicos, robo de identidad, entre otros. “Todos los acusados importaron dispositivos para el robo de tarjetas bancarias (conocidos como skimmers) de múltiples partes del mundo para desplegarlos en diferentes ubicaciones y extraer la información de las víctimas cuando ingresaban su tarjeta en la máquina”, declaró Geoffrey Berman, Fiscal de E.U. para el distrito sur de Nueva York.

Esta red de skimming consiguió la información de las tarjetas de pago de las víctimas mediante el uso de equipo tecnológico avanzado par después fabricar tarjetas de pago falsas con los datos de las víctimas para vaciar sus cuentas bancarias.

En caso de ser hallados culpables, los criminales enfrentarán cargos de conspiración para cometer fraude, conspiración para cometer fraude electrónico, robo de identidad agravado, entre otros. Cada uno de los acusados podría ser sentenciado hasta por 40 años de prisión.

Hace algunas semanas, especialistas en análisis de vulnerabilidades del Instituto Internacional de Seguridad Cibernética (IICS) reportaron el hallazgo de una nueva variante de malware diseñada para explotar vulnerabilidades en los cajeros automáticos de Indian Banks para extraer la información de los usuarios. Este malware, identificado como ATMDtrack, permite a los actores de amenazas acceder y almacenar los datos de cada tarjeta cuando es insertada en los cajeros comprometidos. Al parecer los actores de amenazas que crearon este malware son miembros del grupo de hacking Lazarus Group, vinculado a las agencias de inteligencia de Corea del Norte.

Advertisements

DISPOSITIVOS MAC AFECTADOS POR ESTA NUEVA VARIANTE DE MALWARE

Posted on

CONTENIDO ORIGINAL: https://noticiasseguridad.com/malware-virus/dispositivos-mac-afectados-por-esta-nueva-variante-de-malware/

Un equipo de especialistas en hacking ético de la firma de seguridad Confiant ha revelado el hallazgo de una nueva variante de malware para Mac. Bautizado como Tarmac, esta cepa es distribuida mediante algunas campañas de publicidad maliciosa en países como E.U., Japón e Italia.

En su reporte, los investigadores mencionan que todo comienza usando la publicidad maliciosa, que redirige a la víctima a un sitio infestado de ventanas emergentes ofreciendo actualizaciones de software de uso común (Adobe Flash Player, por ejemplo). Cuando la víctima descarga y ejecuta estas supuestas actualizaciones, se instala el malware de MacOS OSX/Shlayer, mismo que al final ejecutará la carga útil OSX/Tarmac.

“Esta es obviamente una instalación falsa de Adobe firmada con un certificado de desarrollador de Apple (2L27TJZBZM). Este certificado fue emitido por Fajar Budiarto, una entidad falsa”, agregan los expertos en hacking ético.

Esta campaña fue detectada desde enero de 2019, aunque en ese momento los investigadores no habían detectado el código malicioso de Tarmac. Es muy común que los desarrolladores de malware firmen sus creaciones con certificados de desarrollador de Apple, pues es más fácil que otros métodos y permite que su código esquive algunas de las implementaciones de seguridad más utilizadas en un sistema, como XProject o Gatekeeper.

En el informe, los expertos señalan que los servidores de comando y control (C&C) de los operadores de la campaña se encontraban inactivos al momento de la investigación, añadiendo que las muestras de malware analizadas eran algo antiguas. No obstante, es probable que los criminales sólo hayan cambiado de infraestructura y que esta campaña siga activa.

Debido a que en análisis fue realizado cuando los servidores C&C ya estaban inactivos, no fue posible para los expertos conocer todas las características del malware. “Sabemos que Tarmac recopila información sobre el sistema objetivo para enviarla a los hackers, aunque no sabemos qué comandos admite este malware”, añadieron los expertos en hacking ético.

Aunque no parece una táctica demasiado sofisticada, expertos del Instituto Internacional de Seguridad Cibernética (IICS) afirman que el uso de publicidad maliciosa y ventanas emergentes sigue siendo altamente efectivo para la distribución de esta clase de malware. Como medida de seguridad, se recomienda a los usuarios evitar hacer clic en enlaces sospechosos que pudieran redirigirlos a páginas maliciosas.

FACEBOOK LIBRA PODRÍA LLEGAR A SU FIN; MASTERCARD, VISA, EBAY, STRIPE Y MERCADO PAGO ABANDONAN EL PROYECTO

Posted on

CONTENIDO ORIGINAL: https://noticiasseguridad.com/tecnologia/facebook-libra-podria-llegar-a-su-fin-mastercard-visa-ebay-stripe-y-mercado-pago-abandonan-el-proyecto/

Al parecer uno de los proyectos más ambiciosos de Facebook se está quedando sin apoyo. Especialistas en ciberseguridad reportan que algunas grandes compañías de gestión de pagos, como MasterCard, Visa, eBay, Stripe y Mercado Pago han decidido abandonar el Proyecto Libra, la criptomoneda desarrollada por la red social.

Al parecer estas compañías están siguiendo el ejemplo de PayPal, que en días anteriores anunció que abandonaría el proyecto. Expertos de Financial Times consideran que este es un severo golpe contra Facebook y sus intenciones de desarrollar un medio de pago de uso masivo y global. A excepción de la firma neerlandesa PayU, todas las compañías de gestión de pagos que habían mostrado interés en Libra ya han abandonado el proyecto.

Otro factor a considerar es el estricto escrutinio bajo el que se encuentra este proyecto, pues legisladores, empresarios y entidades reguladoras aún tienen demasiadas dudas al respecto del uso de los activos virtuales y su potencial impacto en la economía de una nación. Para atender algunas de estas inquietudes, Mark Zuckerberg comparecerá ante la Cámara de Representantes de E.U. el próximo 23 de octubre.

Por otra parte, algunos miembros de la comunidad de la ciberseguridad consideran que las características de las criptomonedas las convierten en un medio eficiente para el lavado de dinero derivado de actividades criminales, además creen que Libra no será la excepción.

A través de The Libra Association, entidad que Facebook instauró para administrar cualquier asunto relacionado con el proyecto, la red social declaró: “Apreciamos el apoyo para la consolidación del Proyecto Libra; a pesar de que la estructura del proyecto pueda variar con el tiempo creemos firmemente que lograremos consolidar una red de pagos estable y creciente”.

Por su parte, David Marcus, encargado del proyecto Libra, afirmó que Facebook ha interpretado este incidente como una “liberación”, agregando que no hay nada escrito sobre el destino de la criptomoneda. Marcus fungía como presidente de PayPal antes de unirse a Facebook.

Hace algunos días, especialistas del Instituto Internacional de Seguridad Cibernética (IICS) reportaron que el Ministerio de Finanzas de Francia anunció una especie de boicot en contra del uso de Libra en toda la Unión Europea, por lo que la comunidad de la ciberseguridad y entusiastas de los activos virtuales prevén un futuro incierto para este proyecto.

NUEVA VARIANTE DE MALWARE QUE INFECTA EL SOFTWARE DE LOS CAJEROS AUTOMÁTICOS NCR

Posted on

CONTENIDO ORIGINAL: https://noticiasseguridad.com/malware-virus/nueva-variante-de-malware-que-infecta-el-software-de-los-cajeros-automaticos-ncr/

Acorde a especialistas en forense digital, el grupo de hackers identificado como FIN7 ha desarrollado una nueva herramienta maliciosa, capaz de entregar cargas útiles directamente en la memoria del sistema objetivo, además de incluir un módulo que se conecta al software de administración remota utilizado por NCR Corporation, compañía fabricante de cajeros automáticos.

Los expertos, miembros del equipo de investigación Mandiant, de la firma de seguridad FireEye, bautizaron a este malware como BOOSTWRITE, y mencionan que algunas de las muestras que han recolectado de este malware son capaces de entregar más de una carga útil, incluyendo el peligroso backdoor conocido como Carbanak, frecuentemente asociado a las actividades de estos hackers.

Además, los expertos en forense digital mencionan que BOOSTWRITE entrega un troyano de acceso remoto (RAT), identificado como RSFSNIFFER, que descifra las cargas útiles usando las claves enviadas por los hackers desde el lanzamiento del malware. “El malware usa una técnica de secuestro de búsqueda de DLL para cargar sus propias DDL maliciosas en la memoria del sistema objetivo, permitiéndole descargar el vector de inicialización y la clave para descifrar las cargas integradas”, mencionan los expertos.

Al final, cuando la clave de cifrado y el vector de inicialización han sido descargados, BOOSTWRITE descifra las cargas útiles y comprueba que el proceso se haya completado exitosamente. De ser así, millones de usuarios de cajeros automáticos de todo el mundo podrían estar expuestos.

Las actividades de FIN7 (también identificado como Cobalt o Carbanak) fueron detectadas por primera vez a mediados de 2015, atacando específicamente algunas instituciones bancarias y terminales de punto de venta para obtener ganancias gracias al peligroso backdoor Carbanak.

A pesar de que hace algunos meses una operación internacional permitió el arresto de algunos líderes de este grupo, expertos en forense digital del Instituto Internacional de Seguridad Cibernética (IICS) mencionan que FIN7 ha logrado consolidar nuevos liderazgos e incluso desarrollar nuevas variantes de ataque, incluyendo el uso de nuevas cepas de malware, como BOOSTWRITE. Además de FireEye, otras firmas de seguridad, como Kaspersky Labs, afirman haber detectado múltiples campañas de hacking ligadas a FIN7, que ha estado empleando variantes de malware como CARBANAK y BABYMETAL, por lo que es altamente probable que esta agrupación de cibercriminales siga evolucionando.

DESPUÉS DE MESES, LA POLICÍA ARRESTA A LOS NIÑOS QUE HACKEARON SU SITIO WEB Y DATOS PERSONALES

Posted on

CONTENIDO ORIGINAL: https://noticiasseguridad.com/hacking-incidentes/despues-de-meses-la-policia-arresta-a-los-ninos-que-hackearon-su-sitio-web-y-datos-personales/

Hace un par de meses especialistas en seguridad informática reportaron un incidente de hacking contra la Policía Metropolitana de Londres, cuya cuenta de Twitter (con más de un millón de seguidores) fue intervenida para mostrar una serie extrañas publicaciones. Los hackers también enviaron algunos correos electrónicos desde la Oficina de Prensa de la Policía.

Después de meses de búsqueda las autoridades han arrestado a dos adolescentes de 18 y 19 años, originarios de Escocia, acusándolos del incidente de hacking contra las plataformas oficiales de la Policía.

Durante este incidente, ocurrido en Julio pasado, los hackers tomaron control de la cuenta de Twitter de Scotland Yard para publicar algunos tweets referentes al rapero británico Rhys Herbert,  mejor conocido como Digga D. El artista fue encarcelado en 2018 junto a cuatro miembros de una pandilla, acusados de planear un ataque contra pandilleros rivales.

Uno de los twets publicados por los hackers

Siempre envuelto en polémica, el presidente de E.U., Donald Trump, aprovechó la oportunidad para burlarse de Sadiq Khan, alcalde de Londres. “Con su incompetente alcalde las calles de Londres nunca estarán seguras, incluso perdió el control de su cuenta de Twitter”, posteó Trump en la red social.

Acorde a expertos en seguridad informática, las autoridades se apresuraron a descartar la posibilidad de un ataque completo contra la infraestructura informática de la policía. En realidad, el acceso no autorizado fue posible gracias a un servicio de terceros que distribuía automáticamente el contenido creado por el personal de Scotland Yard hacia su sitio web y perfil de Twitter.

Respecto al arresto de los dos jóvenes, un portavoz de la Policía de Londres mencionó: “Hemos arrestado a dos individuos, de 18 y 19 años, en relación con el acceso no autorizado y la publicación de contenido inapropiado en las plataformas de comunicación oficiales de la Policía Metropolitana el viernes 19 de julio de 2019”. El portavoz concluyó mencionando que un informe será enviado a la Oficina de la Corona y a la Oficina del Fiscal.

Debido a que aún se desconoce exactamente de qué delitos serán acusados los dos adolescentes, no es posible estimar cuál es la pena que enfrentan.

Especialistas en seguridad informática del Instituto Internacional de Seguridad Cibernética (IICS) afirman las autoridades británicas han implementado políticas de seguridad actualizadas después de este incidente, pues consideran que fue demasiado fácil para los hackers comprometer el acceso a sus cuentas oficiales.

VULNERABILIDAD CRÍTICA EN FIREWALL CYBEROAM, DE SOPHOS: PARCHE DISPONIBLE

Posted on

CONTENIDO ORIGINAL: https://noticiasseguridad.com/vulnerabilidades/vulnerabilidad-critica-en-firewall-cyberoam-de-sophos-parche-disponible/

Especialistas en análisis de vulnerabilidades reportan el hallazgo de una vulnerabilidad crítica en las soluciones de firewall de la compañía de hardware y software Sophos. De ser explotada, esta falla podría brindar a un actor de amenazas acceso a la red interna de una compañía sin tener que ingresar credenciales de acceso.

Acorde a los reportes, todas las implementaciones de Sophos Cyberoam Firewall que ejecutan CyberoamOS (CROS) versión 10.6.6 MR-5 y anteriores son afectadas por la vulnerabilidad. “Acorde a los parámetros de tiempo y confidencialidad establecidos en la comunidad, recibimos el reporte elaborado por un investigador de seguridad externo”, menciona un comunicado de la compañía.

Posteriormente, el reporte de la compañía menciona: “La vulnerabilidad podría ser explotada enviando una solicitud maliciosa a las consolas Web Admin o SSL VPN, brindando a un atacante remoto no autenticado la posibilidad de ejecutar comandos arbitrarios”.

En resumen, los expertos en análisis de vulnerabilidades mencionan que esta es una falla de inyección de shell que permite a los hackers obtener permisos de usuario root en un sistema vulnerable, además es explotable a través de Internet. La compañía agradeció al especialista en seguridad Rob Mardisalu por enviar el reporte de la vulnerabilidad, identificada como CVE-2019-17059. El experto también compartió el reporte con algunas plataformas especializadas en ciberseguridad, como Tedcrunch.

“La vulnerabilidad permite a los hackers acceder a un dispositivo Cyberoam sin ingresar nombres de usuario o contraseñas, además otorga acceso root, brindando al atacante control completo del dispositivo”, menciona el reporte de Mardisalu.

Respecto a Cyberoam, el producto de Sophos expuesto, es una solución de firewall utilizada en grandes compañías que ofrece servicios como inspección minuciosa de paquetes en redes, aplicaciones y funciones de identidad de usuario. Entre algunas de las amenazas que Cyberoam ayuda a mitigar se encuentran los ataques de denegación de servicio (DoS) y campañas de spoofing.

El experto en análisis de vulnerabilidades que descubrió la falla brindó algunos detalles sobre su investigación, mencionando que, a través del motor de búsqueda Shodan, detectó más de 96 mil dispositivos Cyberoam conectados a Internet en todo el mundo, funcionando principalmente en universidades, bancos y compañías privadas. Además mencionó que esta vulnerabilidad es realmente similar a otras fallas recientemente descubiertas en compañías de servicios de red privada virtual (VPN) como Fortinet o Palo Alto Networks.

“CVE-2019-17059 es una vulnerabilidad similar a las descubiertas en los proveedores de VPN corporativo, pues también permite a los hackers obtener acceso a una red sin necesidad de usar una contraseña”, agregó Mardisalu. Según se ha mencionado, estas vulnerabilidades incluso llegaron a afectar a grandes compañías como Uber y Twitter; incluso Seguridad Nacional emitió una alerta de seguridad.

La compañía ya ha anunciado la corrección de esta falla en su próxima actualización de sistema operativo. Aunque se ha lanzado un parche, especialistas en análisis de vulnerabilidades del Instituto Internacional de Seguridad Cibernética (IICS) afirman que aún quedan algunos dispositivos vulnerables, principalmente porque sus administradores han inhabilitado las actualizaciones automáticas, por lo que recomiendan revisar la configuración de su implementación y actualizar manualmente en caso de ser necesario.

DEPARTAMENTO DE TRANSPORTE DE E.U. SUFRE ATAQUE MASIVO DE MALWARE. HACKERS INFECTAN SISTEMA DE VENTA DE BOLETOS

Posted on

CONTENIDO ORIGINAL: https://noticiasseguridad.com/hacking-incidentes/departamento-de-transporte-de-e-u-sufre-ataque-masivo-de-malware-hackers-infectan-sistema-de-venta-de-boletos/

Aunque la mayoría de las veces los ataques contra sitios web sólo duran algunas horas, o incluso días, expertos en forense digital mencionan que en otras ocasiones estos incidentes pueden tener consecuencias irreversibles. Tal es el caso de la Autoridad de Transporte del Suroeste de Pensilvania (SEPTA), que tuvo que cerrar permanentemente su tienda en línea (con dominio Shop.SEPTA.org) después de un ataque masivo de malware. En el sitio web podían comprarse boletos de viaje, además de camisetas, tazas y otros artículos con el logo de SEPTA.

El primer indicio del ataque ocurrió el pasado mes de junio, cuando un usuario que navegaba en el sitio web de SEPTA recibió una alerta de su herramienta anti malware. El usuario informó a la agencia pública, que comenzó una investigación interna.

Después del cierre del sitio web, SEPTA comenzó a notificar a todos los usuarios potencialmente afectados (al menos 760 personas) sobre el incidente. En el mensaje de la agencia, firmado por el portavoz Andrew Busch, se informa que como resultado de la infección fueron extraídos datos personales, incluyendo:

  • Nombres completos
  • Números de tarjetas de pago
  • Direcciones

Finalmente, el portavoz añadió que la información extraída del sitio web fue puesta a la venta en algunos foros de dark web.

Fragmento del comunicado de SEPTA

Algunos reportes de especialistas en forense digital atribuyen este incidente a Magecart, el peligroso grupo de hackers dedicado al robo de información financiera almacenada en sistemas de compras en línea. Además, los funcionarios de SEPTA estiman que la información habría sido extraída entre el 21 de junio y el 16 de julio.

El gobierno de Pensilvania menciona que aún no es posible determinar el alcance exacto del incidente, por lo que más usuarios afectados podrían recibir una notificación de SEPTA durante los próximos días. Los funcionarios de SEPTA afirman que después de detectar la infección siguieron al pie de la letra todos los protocolos de denuncia y mitigación de daño establecidos, lo que incluye notificar al Departamento de Transporte Estatal y al Buró Federal de Investigación (FBI).

Por último, las autoridades federales de transporte de E.U. anunciaron el cierre permanente de la tienda en línea de SEPTA. Acorde a especialistas en forense digital, es muy probable que esta decisión fuera tomada con el propósito de evitar que la información de otros usuarios fuera comprometida.

Hasta ahora no se han revelado mayores detalles sobre el incidente, aunque en su última declaración, el portavoz de SEPTA afirmó que no se han detectado incidentes adicionales en la red de la agencia.

Aunque no es algo muy común, recientemente se han detectado al menos tres incidentes de hacking en contra de algunos sistemas relacionados con el transporte público, principalmente en ciudades de Reino Unido. Uno de estos casos se presentó en Manchester, donde expertos en forense digital del Instituto Internacional de Seguridad Cibernética (IICS) reportaron que un grupo de hackers no identificados logró comprometer la app de transporte público de la ciudad. Al explotar una falla en los códigos QR generados por esta aplicación, los atacantes lograron generar tickets electrónicos para poder viajar en metro, tren, entre otros medios de transporte sin tener que pagar.