Latest Event Updates

Two million stolen Facebook, Twitter, Yahoo, ADP passwords found on Pony Botnet server

Posted on Updated on

 

Two million stolen Facebook, Twitter, Yahoo, ADP passwords found on Pony Botnet server

Since the source code for the Pony Botnet Controller was leaked, Trustwave’s SpiderLabs has been tracking the beast with much fascination.

Interest turned to stunned surprise when the researchers uncovered a Pony Botnet server stabling over two million account credentials and passwords for Facebook, Yahoo, Google, Twitter, Linkedin, Odnoklassniki (the second largest Russian social network site) and more.

botnet pony
Contrary to what some news outlets are reporting, SpiderLabs said that locations of the victims is global (not the Netherlands).

SpiderLabs explained that they could not specify a targeted country because the attacker used a proxy server based in the Netherlands to push the outflow of traffic from an NL address (making it look like there are 1,049,879 victims in the Netherlands).

The researchers wrote in Look What I Found: Moar Pony!,

(…) most of the entries from NL IP range are in fact a single IP address that seems to have functioned as a gateway or reverse proxy between the infected machines and the Command-and-Control server, which resides in the Netherlands as well.

This technique of using a reverse proxy is commonly used by attackers in order to prevent the Command-and-Control server from being discovered and shut down–outgoing traffic from an infected machine only shows a connection to the proxy server, which is easily replaceable in case it is taken down.

While this behavior is interesting in-and-of itself, it does prevent us from learning more about the targeted countries in this attack, if there were any.
The ninth top domain from which passwords were stolen was Automatic Data Processing, Inc. (ADP), which is one of the largest providers of payroll services to most Fortune 500 businesses and at least 620,000 business organizations worldwide.

In Look What I Found: It’s a Pony! SpiderLabs SpiderLabs explained,

Pony’s main business still remains theft: stolen credentials for websites, email accounts, FTP accounts, anything it can get its hands on- grabbed and reported back home.
The researchers describe the Pony Botnet Controller as “a particularly diligent” botnet controller, that steals hundreds of thousands of credentials from its victims “within a few days” of infection.

In their initial June 30 Pony Botnet discovery, SpiderLabs found 650,000 stolen website credentials, approximating 90,000 Facebook accounts, 25,000 Yahoo accounts and 20,000 credentials for Google accounts.

SpiderLabs wrote that this week’s Pony Botnet Controller discovery was not a hit-and-run, as previously encountered, but instead was a steady and ongoing ‘revenue’ delivery system.

SpiderLabs tallied:

~1,580,000 website login credentials stolen

~320,000 email account credentials stolen

~41,000 FTP account credentials stolen

~3,000 Remote Desktop credentials stolen

~3,000 Secure Shell account credentials stolen
PONY Bonet is a very powerful type of spy/keylogger malware with – as you can surmise – some pretty dangerous features. It captures a user’s sensitive data from all kinds of applications.

Notably, the trojan recognizes Chrome, Firefox, Opera, Internet Explorer, CyberDuck (and a huge range of FTP applications), Dreamweaver, Windows Mail, Outlook, Rockmelt, and more.

Fun fact: The Pony Botnet Controller’s icon is not any of the My Little Pony characters, as some might have assumed – instead it’s the Candy Corn Foal from Zynga’s Facebook game Farmville.

 

 

Ana Bella
Instituto Internacional de Seguridad Cibernética
International Institute of Cyber Security
http://www.iicybersecurity.com

NATO lanza “la más grande historia de cyber-medidas de seguridad

Posted on

La OTAN ha lanzado Coalición Cibernético 2013, el mayor ejercicio de su tipo destinado a frustrar los ataques masivos y simultáneos en los Estados miembros y sus aliados.

El ejercicio de tres días, con base en el centro de la defensa cibernética de la alianza de 27 miembros en Estonia, incluirá participantes de más de 30 Estados europeos. Unos 400 expertos en TI, gobierno y legales de toda la alianza tomarán parte en la operación.

“Con cerca de 100 participantes en Tartu [Estonia] y más de 300 en las capitales nacionales de 32 países, la Coalición de Cyber ​​2013 es el mayor ejercicio de este tipo en términos de los países participantes”, dijo la OTAN en un comunicado.

Los ejercicios tienen como fin comprobar la OTAN y “responsabilidades técnicas y operativas” de sus socios y revisar la eficiencia con los participantes coordinen sus esfuerzos.

La alianza señaló que como país anfitrión, Estonia proporcionará “infraestructura de ejercicios, instalaciones de entrenamiento y apoyo logístico.”

. “Los ciberataques son una realidad cotidiana y que están creciendo en sofisticación y complejidad de la OTAN tiene que seguir el ritmo de esta amenaza en evolución y de la Coalición de Cyber ​​2013 nos permitirá probar completamente nuestros sistemas y procedimientos para defender con eficacia nuestras redes – hoy y en el futuro “, Jamie Shea, el subsecretario general adjunto para los nuevos desafíos de seguridad en la Sede de la OTAN, dijo en un comunicado.” La OTAN tiene que seguir el ritmo de esta amenaza en evolución “.
La OTAN aún tiene que decidir si un ataque cibernético contra una miembro de la alianza implicaría una respuesta colectiva tal como se indica en el artículo 5 del Tratado de Washington. En la actualidad, la seguridad cibernética se trata como una responsabilidad nacional a pesar de la interconexión de las redes de los Estados miembros.

Estonia ha sido sede del Centro de Defensa de la OTAN Cooperativa Ciber Excelencia desde octubre de 2008, tras una serie de ataques cibernéticos contra el país en abril del año anterior.

Los ataques de 2007 vieron a los sitios web del Parlamento de Estonia, los bancos, los ministerios, los periódicos y las emisoras de golpear con una ola sin precedentes de ataques DDoS (denegación de servicio).

El incidente empujó la NATO y los gobiernos de todo el mundo para volver a evaluar la importancia de la seguridad de la red en la guerra moderna.

Roland Murof, un portavoz militar de las Fuerzas de Defensa de Estonia, dijo que el escenario de los juegos incluye “múltiples intentos simultáneos simulados, para infiltrarse en las redes de información con diferentes técnicas de guerra cibernética, incluyendo las redes de bots y sitios web infectados con malware.” A medida que el escenario del ejercicio es ficticio , “los atacantes son organizaciones falsos apoyados por naciones ficticias y no tienen ningún vínculo con el mundo real”, dijo, citado por theregister.co.uk.

 

Instituto Internacional de Seguridad Cibernética
International Institute of Cyber Security
http://www.iicybersecurity.com

El condón USB evita que el teléfono se contagien con enfermedades de los puertos de carga extrañas

Posted on Updated on

Los dispositivos móviles se están convirtiendo en una parte importante de nuestra vida cotidiana, pero la duración de la batería a menudo se queda corto de las expectativas. Esto ha llevado a mucha gente a ver a un puerto de carga abierta como un oasis en el desierto. De energía libre? ¿Qué podría salir mal? Bueno, para empezar, la toma de corriente en un teléfono inteligente es también un puerto de transferencia de datos, por lo que hay, al menos, cierto riesgo de sus pedacitos siendo arrebatados. Esto se llama jugo-jacking, pero ahora hay una defensa profiláctica útil – el USB condón.

Esto no es casi seguro que el producto se le ha ocurrido al oír el nombre. El condón USB es una placa de circuito que se conecta al puerto USB de su teléfono y que está destinado para detener cualquier y todas las transferencias de datos. Con el condón USB entre el dispositivo y el enchufe en el anonimato, puede supuestamente conectar con tranquilidad.

El condón es un dongle USB que funciona sentándose entre el teléfono y la fuente de energía para controlar qué pins son realmente conectados al puerto de carga aleatoria. Echa un vistazo en el conector del cable USB más cercano. Verás que no es sólo un conector monolítico, sino una serie de cuatro pines. Hay dos clavijas de datos, uno para la alimentación, y uno para suelo. El condón USB simplemente encamina los pines de alimentación, pero bloquea los pines de datos.

El dispositivo aún no está disponible para su compra, pero será en algún momento la próxima semana. Todo lo que tenemos que ir a es un diagrama de la placa simple. Va a ser un componente simplificada – tal vez incluso un tablero desnudo, pero debe ser completa y funcional, ya entregado. Sí, va a ser otra cosa que llevar a todas partes, pero nadie paranoico sobre la seguridad de datos estará encantado de tener uno.

USB Los investigadores de seguridad han estado especulando desde hace años que un quiosco de carga podría ser utilizado para transmitir el malware para móviles, o incluso chupar la derecha de los datos del dispositivo. En muchos casos, esto puede requerir un exploit para eludir las medidas de seguridad básicas incorporadas en el teléfono, pero algunos usuarios han arraigado o jailbreak dispositivos que necesariamente reducen el nivel de protección del sistema.

En las manos equivocadas, los datos de su teléfono es más valioso que el teléfono en sí, por lo que hay un montón de motivación para los chicos malos para perseguir jugo-jacking. Que los dioses de USB se apiade de sus datos si se conecta a un puerto USB pública a 50 millas de la anual conferencia de seguridad DefCon en Las Vegas. Este es un lugar donde el uso público WiFi o cajeros automáticos es muy arriesgado. Si hay cualquier jugo-jacking es probable que ocurra, que está ahí.

Si los fabricantes del condón USB tienen ningún sentido, van a establecer una tienda en DefCon del próximo año y hacer un montón de dinero vendiendo sus profilácticos de teléfonos inteligentes. Vendrá en mini y micro USB sabores. No hay precio que aparece en la página del condón USB todavía, pero puede realmente poner un precio a ese tipo de paz de la mente?

Instituto Internacional de Seguridad Cibernética
International Institute of Cyber Security
www.iicybersecurity.com

Hackers Target Bitcoin

Posted on Updated on

On Sunday, users of the popular Bitcoin discussion forum Bitcoin Talk (bitcointalk.org) noticed that the website was being served via CloudFlare. It turns out that the change is the work of cybercriminals.

According to Bitcoin Talk administrator Theymos, this appears to be a man-in-the-middle attack that leveraged a vulnerability in the systems of AnonymousSpeech.com

“8-14 hours ago, an attacker used a flaw in the forum’s AnonymousSpeech to change the forum’s DNS to point to 108.162.197.161 (exact details unknown). Sirius noticed this 8 hours ago and immediately transferred bitcointalk.org to a different registrar,” Theymos stated a few hours ago.

However, he warns that it might take around 24 hours until the changes propagate.

It’s believed the attacker could have intercepted encrypted communications, including passwords, authentication cookies and private messages. However, only information submitted while the DNS was changed could have been compromised.

All security codes have been invalidated, but while this is sorted out, users are advised to add “109.201.133.195 bitcointalk.org” to their hosts file to make sure they’re communicating with the right server.

Interestingly, the man-in-the-middle attack coincided with a massive distributed denial-of-service (DDOS) attack launched against the website.

“These two events are probably related, though I’m not yet sure why an attacker would do both of these things at once,” Theymos said.

The incident is still being investigated.

It’s worth noting that several Bitcoin-related services have been targeted by hackers over the past period, especially since the value of the digital currency skyrocketed.

Post by:

Instituto Internacional de Seguridad Cibernética
International Institute of Cyber Security
www.iicybersecurity.com