Serían mas de mil millones de tarjetas SIM afectadas por esta vulnerabilidad.
Hace poco tiempo publicamos un artículo acerca del ataque denominado Simjacker, el cual se demostró de ser capaz de ser explotado de forma silenciosa mediante SMS creados específicamente para ejecutar comandos en el teléfono víctima.
Recapitulando, la vulnerabilidad Simjacker reside en el conjunto de instrucciones de S@T Browser, el cual viene incorporado en una larga variedad de tarjetas SIM, incluyendo eSIM, provistas por operadores de telefonía móvil en al menos 30 países.
Investigadores de seguridad descubre un
ataque basado en método SMS para rastrear y espiar a los usuarios de teléfonos móviles.
“Estamos seguros de que el desarrollo
del ataque fue realizado por una compañía privada que trabaja directamente con
gobiernos para monitorear personas.” Aseguran los
investigadores de AdaptiveMobile Security.
“Creemos que esta vulnerabilidad ha
sido explotada por al menos 2 años por un altamente sofisticado sistema de
ataque en varios países, principalmente con fines de vigilancia”.
Los investigadores describen el ataque
como “Un gran salto en complejidad y sofisticación”, comparado con los
ataques realizados a redes móviles anteriormente y es considerable el escalamiento
en las habilidades de los atacantes.
Como funciona SIMjacker
Todo comienza con un atacante utilizando
un Smartphone con un modem GSM o cualquier servicio A2P para enviar mensajes de
texto a sus víctimas.
Estos mensajes SMS contienen
instrucciones ocultas de SIM Toolkit (STK) que son compatibles con el navegador
S @ T de un dispositivo, una aplicación que reside en la tarjeta SIM, en lugar
del teléfono.
El navegador S@T y el STK son una tecnología
de hace ya varios años compatible con algunas redes móviles y sus tarjetas SIM.
Se pueden usar para activar acciones en un dispositivo, como iniciar
navegadores, reproducir sonidos o mostrar ventanas emergentes. Antiguamente,
los operadores usaban estos protocolos para enviar a los usuarios ofertas
promocionales.
Pero AdaptiveMobile dijo que el ataque SIMjacker
abusa de este mecanismo para recuperar archivos, la localización e incluso el
IMEI de los dispositivos de las víctimas, todo esto lo realiza a través de un
mensaje de texto SMS.
Solo para empeorar las cosas el SIMjacker
es completamente silencioso sin dejar ningún registro de estos mensajes en el
equipo, por lo que las víctimas están expuestas durante largos periodos, por lo
que se registra su ubicación.
Además, debido a que Simjack explota una
tecnología que reside en la tarjeta SIM, el ataque también funciona independientemente
del tipo de dispositivo del usuario.
“Hemos observado que los dispositivos de casi todos los fabricantes están dirigidos con éxito para recuperar la ubicación: Apple, ZTE, Motorola, Samsung, Google, Huawei e incluso dispositivos IoT con tarjetas SIM”, dijeron los investigadores. La única buena noticia es que el ataque no se basa en mensajes SMS regulares, sino en códigos binarios más complejos, entregados como SMS, lo que significa que los operadores de red deberían poder configurar su equipo para bloquear dichos datos que atraviesan sus redes y llegan a los dispositivos del cliente.
Microsoft lanza un parche de seguridad de
emergencia para 2 nuevas vulnerabilidades, una de ellas es crítica y está
siendo explotada en estos momentos por ciber criminales a través de Internet
Explorer.
Descubierta y asignada
al CVE-2019-1367 por Clément Lecigne de Google’s Threat Analysis Group, la
vulnerabilidad permite ejecutar código de forma remota manipulando objetos en
la memoria del equipo por medio de Internet Explorer.
Esta manipulacion de
información podría llevar a tomar el control absoluto de la máquina, solo
visitando un sitio web especialmente diseñado en Internet Explorer.
“Un atacante
que explotó con éxito la vulnerabilidad, podría obtener los mismos derechos de
usuario que el usuario actual. Si el usuario actual inicia sesión con derechos
de administrador, un atacante podría tomar el control de un sistema afectado“,
indica Microsoft.
Esta vulnerabilidad
afecta directamente a las versiones 9, 10 y 11 de Internet Explorer y aunque lo
ideal es que los usuarios estén constantemente actualizando el software, es
altamente recomendable utilizar un browser más seguro, como Google Chrome o
Mozilla Firefox.
Según Microsoft esta vulnerabilidad
esta siendo explotada en este momento, pero no revela detalles de la forma en
la que se lleva acabo la explotación.
Microsoft también
lanzó una segunda actualización de seguridad para parchar una vulnerabilidad de
denegación de servicio (DoS) en Microsoft Defender, un motor antimalware que esta
incluido en Windows 8 y versiones posteriores del sistema operativo.
Descubierta y asignada
a CVE-2019-1255 por Charalampos Billinis de F-Secure and Wenxu Wu of Tencent
Security Lab, la vulnerabilidad
reside en la forma en que Microsoft Defender maneja los archivos y existe en
las versiones de Microsoft Malware Protection Engine hasta 1.1.16300.1.
De acuerdo a lo
publicado por Microsoft un atacante que explote esta vulnerabilidad
exitosamente puede evitar que cuentas autorizadas, ejecuten binarios legítimos
en el sistema, pero para explotar esta falla, el atacante “primero
requeriría la ejecución en el sistema de la víctima“.
La actualización de seguridad para Microsoft Defender es automática y por lo tanto, se aplicará a través del motor de protección contra malware de Microsoft. La falla se ha solucionado en el motor de protección contra malware de Microsoft versión 1.1.16400.2, por lo que se recomienda actualizar lo antes posible.
Un ransomware relativamente nuevo llamado
Lilocked por los investigadores y Lilu por los desarrolladores, se encuentra
encriptando datos en servidores web. Todos los servidores infectados conocidos
son sitios web, lo que provoca que los archivos encriptados se encuentren
fácilmente en resultados de búsqueda de Google.
El primer reporte de Lilu fue realizado el día 26 de julio del 2019 en un articulo llamado “The Week in Ransomware” donde Michael Gillespie encontró una muestra subida a su servicio ID Ransomware. Fue nuevamente descubierto por el experto en seguridad Benkow quien lo publicó a través de tweeter. Google reporta mas de 6.000 resultados de sitios web encriptados y con sus archivos renombrados con extensión .lilocked, provocado por este ransomware.
Además, las estadísticas de envíos de ID
Ransomware muestran que esta infección tiene un volumen bajo pero constante, de
envíos al servicio de identificación de ransomware.
No se sabe si Lilu se
dirige específicamente a los servidores web, pero la mayoría de los archivos
enviados vistos encontrados están relacionados con sitios web. Al revisar los
archivos enviados, no parece haber un patrón como WordPress, Magento u otros
sitios de CMS comúnmente pirateados.
Lo que se conoce hasta este momento de la encriptación de datos por Lilu, no es mucho ya que aun no se encuentra alguna muestra de como trabaja internamente es ransomware. Según la poca información que hay podemos asegurar que cuando una maquina es infectada, encripta los archivos cambiando el nombre del archivo por su extension .lilocked. Un ejemplo de esto seria , apple-icon.png seria encriptado y renombrado como apple-icon.png.lilocked.
Para cada carpeta
infectada Lilocked deja una nota llamada #README.lilocked.
La nota #README.lilocked informa a la víctima que sus datos an sido encriptados y que se dirijan al sitio de pago de tor de la banda para poder pagar la recompensa requerida, en este archivo va incluido una llave necesaria para el login del sitio de pago.
Si la víctima entra al sitio muestra un formulario donde tiene que ingresar la llave entregada.
Una vez ingresada la llave, se despliega un mensaje de como pagar la recompensa, esta esta en bitcoins (0.010 BTC) que equivalen aproximadamente a 100 USD que es lo que demanda la banda.
Hasta este momento no se conoce una forma efectiva de desencriptar los archivos, también se descubrió el correo asociado al ataque.
Un exploit público de Bluekeep fue añadido al framework de pentesting open-source MetaSploit, desarrollado por Rapid7 junto a la comunidad open-source.
Bluekeep es una vulnerabilidad que permite la ejecución remota de código (RCE) descubierta en el protocolo de escritorio remoto de Windows (RPD) la cual permite que un atacante sin autenticar ejecute código arbitrariamente, realice ataques de denegación de servicio, y en algunos casos, tomar el control total de sistemas sin parchar.
Este exploit recién liberado utiliza código de la prueba de concepto de los contribuidores de Metasploit zǝɹosum0x0 y Ryan Hanson, está diseñado para afectar versiones de WIndows 7 y Windows 2008 R2 de 64 bits.
El gerente de ingenieros senior de MetaSploit, Brent Cook, indicó que por defecto, este exploit sólo identifica el sistema operativo del objetivo e indica si es o no vulnerable a Bluekeep. También apuntó a que este exploit no soporta automatización de objetivo sino que requiere que el usuario especifique manualmente los detalles del objetivo antes de intentar cualquier explotación.
zǝɹosum0x0 manifestó que toda la información requerida para explotar esta vulnerabilidad ya ha sido filtrada las semanas anteriores y existen al menos una docena de exploits privados anunciados. Ha sido una preocupación por muchos meses el parchado de esta vulnerabilidad, y al igual que otras fallas de windows que se pueden incluir en un gusano, posiblemente será una preocupación en los años venideros.
La publicación de este exploit sigue a un incrementado número de ataques que apuntan a los servicios RDP, con BinaryEdge detectando actualmente más de 1.000.000 de sistemas sin parchar expuestos en internet. Shodan a su vez tiene un dashboard con estadísticas por país afectado.
El exploit hace uso de una librería RDP de propósito general con mejoras, también tiene capacidades aumentadas para reconocimiento de RDP, las cuales benefician a los usuarios y contribuidores más allá del contexto de búsqueda y explotación de BlueeKeep. Si un IPS interrumpe el progreso del exploit de BlueKeep al detectar una firma de payload contra un sistema sin parchar, la desconexión causaría un error fatal en el objetivo, ya que el código del exploit se gatilla por una desconexión de red.
Otros exploits de BlueKeep
La herramienta CANVAS de la empresa Immunity agregó un exploit completamente funcional de BlueeKeep el 23 de julio, este es un exploit completo y no se limita a verificar la vulnerabilidad.
Juan Pablo Tosso, Gerente de ciberseguridad avanzada de Makros: Bluekeep es una vulnerabilidad crítica que dada su alta explotabilidad, ha sido manejada de forma hermética en la comunidad de ciberseguridad. Pese a que desde hace ya varios meses existen POCs y documentación suficiente para elaborar exploits funcionales, el alto nivel de conocimiento técnico en ingeniería reversa necesario para aprovechar esta vulnerabilidad ha evitado que script kiddies desaten el caos en internet. La publicación de este exploit probablemente dé inicio a la creación de nuevos ransomware y una explotación masiva a servicios públicos vulnerables, por lo tanto el parchado se debe realizar inmediatamente.
Para estos casos Makros cuenta con un servicio de gestión de vulnerabilidades proactivo, el cual apoya en la detección y la mitigación.
También es recomendable implementar el módulo Sophos Exploit Prevention, disponible para Sophos Enterprise Console. Éste módulo activa las protecciones de anti-exploit, Cryptoguard, y tecnología Clean en el agente.
Si, tu IPhone puede ser hackeado solo
visitando un sitio que aparentemente es inofensivo, investigadores de Google publicaron
un descubrimiento terrorífico.
La historia se remonta a una cadena de
ataques generalizados para iPhone, que los investigadores de ciberseguridad del
proyecto “Cero” de Google descubrieron a principios de este año, esto se logra
implantando un spyware en los últimos 5 exploits de jailbreaking remoto existentes
para IPhone.
Estos exploits, los cuales explotan un
total de 14 vulnerabilidades del sistema operativo iOS mobile, de las cuales 7 residen
en el browser de la marca “Safari”, 5 en el kernel del sistema operativo y 2 fallas
en sandbox, los objetivos eran casi todas las versiones de iOS entre “iOS 10”
hasta la mas reciente “iOS 12”.
Según la publicación realizada por el
investigador del Proyecto Cero “Ian Beer”, solo dos de las 14 vulnerabilidades
de seguridad eran zero-days, CVE-2019-7287 y CVE-2019-7286 sin parches en el
momento del descubrimiento y sorprendentemente la cadena de ataque permaneció
sin ser detectada durante al menos dos años.
Aun que los detalles técnicos de estas 2
vulnerabilidades no estaban disponibles, estas fueron publicadas en febrero
luego de el lanzamiento de la versión 12.1.4 de iOS.
“Reportamos estos problemas a
Apple con un plazo de 7 días el 1 de febrero de 2019, lo que resultó en el
lanzamiento de iOS 12.1.4 el 7 de febrero de 2019. También compartimos los
detalles completos con Apple, que fueron revelados públicamente el 7 de febrero
de 2019 “, dice Beer.
Ahora los investigadores de Google
explican, el ataque comenzó a través de una pequeña cantidad de sitios
hackeados con miles de visitas por semana, dirigidos a todos los usuarios de
iOS que visitan esos sitios web sin discriminación alguna.
“Simplemente
visitar el sitio pirateado fue suficiente para que el servidor exploit ataque
su dispositivo y si fue exitoso, ya se intaló un monitoreo“, dice
Beer.
Una vez que el usuario
de Iphone visite un sitio corrompido a través de Safari, se activa el exploits
WebKit que realiza una escalada de privilegios hasta obtener un acceso mas alto
de acceso en la raiz del dispositivo.
Los exploits del
iPhone se usaron para implementar un implante diseñado principalmente para
robar archivos como iMessages, fotos y datos de ubicación de GPS en vivo de los
usuarios, y subirlos a un servidor externo cada 60 segundos.
“No hay un
indicador visual en el dispositivo de que el implante se está ejecutando. No
hay forma de que un usuario en iOS vea una lista de procesos, por lo que el
binario del implante no intenta ocultar su ejecución del sistema“,
explica Beers.
El implante de software espía también robó los archivos de la base de datos del dispositivo de la víctima que utilizan las populares aplicaciones de cifrado de extremo a extremo como Whatsapp, Telegram e iMessage para almacenar datos, incluidos los chats privados en texto sin formato.
Además, el implante
también tenía acceso a los datos del llavero del dispositivo de los usuarios
que contenían credenciales, tokens de autenticación y certificados utilizados
en y por el dispositivo.
“El llavero
también contiene los tokens de larga duración utilizados por servicios como el
inicio de sesión único de iOS de Google para permitir que las aplicaciones de
Google accedan a la cuenta del usuario. Estos se cargarán a los atacantes y
luego se pueden usar para mantener el acceso al usuario Cuenta de Google,
incluso una vez que el implante ya no se está ejecutando “, dice
Beers.
Si bien el implante se
eliminaría automáticamente de un iPhone infectado al reiniciar, sin dejar
rastro de sí mismo, visitar el sitio pirateado nuevamente reinstalaría el
implante.
Alternativamente, como
explica Beer, los atacantes pueden “mantener un acceso persistente a
varias cuentas y servicios mediante el uso de tokens de autenticación robados
del llavero, incluso después de perder el acceso al dispositivo“.
Imperva, una de las startups lideres en ciberseguridad cuya misión es ayudar a empresas a proteger información crítica y aplicaciones de ciberataques, fue víctima de una filtración de información delicada significativa en algunos de sus clientes.
La filtración de información, afecta principalmente
a clientes de Imperva Cloud Web Application Firewall (WAF), anteriormente
conocido como Incapsula, un servicio CDN centrado en la seguridad, conocido por
su mitigación de DDoS y características de seguridad de aplicaciones web que
protegen los sitios web de actividades maliciosas.
En una publicación realizada en el blog de la compañía, realizada por Chris Hylen CEO (Chief Executive Officer) de Imperva, reveló que la compañía se enteró del incidente el 20 de agosto de 2019, solo después de que alguien informara sobre la exposición de datos que “afecta a un subconjunto de clientes de su producto Cloud WAF, que tenían cuentas hasta el 15 de septiembre de 2017 “.
La información expuesta incluye
direcciones de correo electrónico y contraseñas de todos los clientes de Cloud
WAF quienes fueron registrados antes del 15 de septiembre del 2017, así como
claves API y certificados SSL proporcionados por el cliente para un subconjunto
de usuarios.
“Activamos nuestro equipo y protocolo interno de respuesta de seguridad de dato y continuamos investigando con toda la capacidad de nuestros recursos como ocurrió esta exposición“, dice la compañía.
“Hemos informado a las agencias reguladoras globales apropiadas y contamos con asesoría de expertos forenses externos“.
La compañía aun no revela la forma en la que
se produjo la filtración, si sus servidores se vieron comprometidos o si se
dejaron sin seguridad accidentalmente en una base de datos mal configurada en
Internet.
Imperva aun se encuentra investigando el
incidente y aseguran que fueron informados todos los clientes que fueron
directamente afectados y también está tomando medidas adicionales para aumentar
su seguridad.
“Lamentamos
profundamente que este incidente haya ocurrido y continuaremos compartiendo
actualizaciones en el futuro. Además, compartiremos los aprendizajes y las
nuevas mejores prácticas que puedan surgir de nuestra investigación y las
medidas de seguridad mejoradas con la industria en general“, dice la
compañía.
Se recomienda a los usuarios de Cloud WAF que cambien las contraseñas de sus cuentas, implementen Single Sign-On (SSO), habiliten la autenticación de dos factores (2FA), generen y carguen nuevos certificados SSL y restablezcan sus claves API.
Silence APT, es un grupo de cibercriminales
de habla rusa, conocido por atacar en un comienzo principalmente a
organizaciones financieras soviéticas, en este momento ha tomado un nuevo rumbo
y se encuentra presente en mas de 30 países ubicados en América, Europa, África
y Asia.
El famoso grupo se encuentra activos desde al menos septiembre del año 2016, el ataque exitoso mas reciente fue contra el Dutch-Bangla Bank con sede en Bangladesh, quienes perdieron mas de 3 millones en solo unos días, esto en efectivo girado desde cajeros automáticos.
De acuerdo a un nuevo reporte de la firma Group-IB, el grupo se ha expandido geograficamente de forma considerable en los últimos meses, aumentando la cantidad de ataques.
El reporte también describe al grupo como “hackers jóvenes altamente motivados” a uno de los grupos más sofisticados que ahora representa amenazas para los bancos de todo el mundo.
El grupo esta constantemente actualizando su TTP (tactics, technics and procedures) y cambiando sus alfabetos encriptados, textos y comandos bot y el módulo principal evadan la detección mediante herramientas de seguridad.
“Además,
el actor ha reescrito completamente el cargador TrueBot, el módulo de primera
etapa, del cual depende el éxito de todo el ataque del grupo. Los hackers
también comenzaron a usar Ivoke y un agente EDA, ambos escritos en
PowerShell”. dijeron los investigadores.
EDA es
un agente de PowerShell, diseñado para controlar sistemas comprometidos
mediante la realización de tareas a través del shell de comandos y el tráfico
de túnel mediante el protocolo DNS, y se basa en los proyectos Empire y
dnscat2.
Así como la mayoría de estos grupos, Silence también se basa en correos electrónicos de phishing con macros Docs o exploits, archivos CHM y atajos .LNK como archivos adjuntos maliciosos para comprometer a sus víctimas.
Para
elegir sus objetivos, el grupo primero crea una “lista de objetivos”
actualizada de direcciones de correo electrónico activas, mediante el envío de
“correos electrónicos de reconocimiento”, que generalmente contienen
una imagen o un enlace sin una carga maliciosa.
“Estas campañas ya no se centraron solo en Rusia y los antiguos países soviéticos, sino que se extendieron por Asia y Europa. Desde nuestro último informe público, Silence ha enviado más de 170,000 correos electrónicos de reconocimiento a bancos en Rusia, la ex Unión Soviética, Asia y Europa “, según el informe.
“En
noviembre de 2018, Silence trató de apuntar al mercado asiático por primera vez
en su historia. En total, Silence envió alrededor de 80,000 correos
electrónicos, con más de la mitad de ellos dirigidos a Taiwán, Malasia y Corea
del Sur”.
Con los últimos ataques efectuados por Silence desde mayo del 2018 hasta el primero de agosto de este año, los investigadores describen el incremento del daño de sus operaciones, confirmaron que la cantidad de fondos robados por Silence se ha quintuplicado desde sus inicios.
Los investigadores también sospechan que los TrueBot (aka Silence.Downloader) y FlawedAmmyy, fueron desarrollados por la misma persona ya que ambos malware están firmados por el mismo certificado digital .
El FlawedAmmyy es un troyano de acceso remoto (RAT) asociado al TA505, otro grupo de habla rusa, responsable de varios ataques de larga escala, donde están involucrados varios ataques de correo electrónico altamente dirigidos, así como campañas masivas de mensajes multimillonarios desde al menos 2014.
“La
creciente amenaza planteada por Silence y su rápida expansión global, nos
llevaron a hacer públicos ambos informes para ayudar a los especialistas en
ciberseguridad a detectar y atribuir correctamente los ataques mundiales de
Silence en una etapa temprana”, dijeron los investigadores.
Group-IB no compartió los nombres de los bancos que son objetivos del mencionado grupo, pero afirmaron que el grupo atacó con éxito a los bancos en India (en agosto de 2018), Rusia (en febrero de 2019, el “Banco de TI” ruso), Kirguistán (en mayo de 2019 ), Rusia (en junio de 2019) y Chile, Ghana, Costa Rica y Bulgaria (en julio de 2019).
El grupo de investigadores ha detallado aun mas los ataques de Silence APT y lo ha plasmado en su informe titulado “Silence 2.0: Going Global”, a continuación les dejo un link al informe de Group-IB, por si quieren obtener más información.
El Banco Central Europeo confirmó este jueves que fue víctima de un ciberataque que involucró inyección de malware en uno de sus sitios, lo que conllevaría al robo de información de contacto de los suscriptores a las newsletter que emite esta entidad.
Con su casa central en Alemania, el Banco Central Europeo es el banco central de los 19 países de la Unión Europea que han adoptado el Euro como moneda, y a la vez es responsable de supervisar las prácticas para la protección de datos en el sistema bancario de estos países.
Un investigador de seguridad de google reveló detalles de una vulnerabilidad de alta severidad presente hace 20 años sin parchar en todas las versiones de Windows desde Windows XP hasta Windows 10.
El error se encuentra en la forma que los clientes MSCTF se comunican, permitiendo que un usuario con pocos privilegios o una aplicación de sandbox tenga acceso de lectura y escritura en una aplicación de nivel superior.