Archivos de etiquetas: ataque

Hackeo de grupo Fxmsp afecta a 3 productores de antivirus

Hace un par de meses, un grupo de hackers denominado FXMSP realizó el anuncio de que invadieron las redes de 3 empresas de antivirus de Estados Unidos, aduciendo además de que tuvieron acceso al código fuente de sus productos. Estos datos se pusieron a la venta por entre USD$ 150.000 y USD$ 250.000, dependiendo de la cantidad de datos requeridos. Una empresa independiente especializada en prevención de fraudes, publicó un informe acerca de este ataque.
En un comienzo, los nombres de las víctimas de este ataque no fueron revelados al público, por la delicadeza de este dato. Pero luego de que esta noticia se esparciera, fueron las mismas empresas víctimas quienes reaccionaron. Independiente del tipo de reacción que tuvieron, las empresas de antivirus hackeadas fueron McAfee, Symantec y Trend Micro. De hecho los atacantes indicaron explícitamente que explotaron una falla en la seguridad de Trend Micro, y que con McAfee actuaron de forma similar, en ambos casos, indetectados.
Symantec ha negado ser víctima, aunque se encuentra trabajando directamente con AdvIntel para mitigar el riesgo, en lo declarado por la empresa para tranquilizar a sus clientes.
El contenido de los nada despreciables 30 Terabytes de datos robados, parecieran contener datos acerca del desarrollo de las empresas, seguridad web, modelo de inteligencia artificial y el código fuente de los antivirus.
El vector de ataque pareciera ser mediante el compromiso de un servidor de Active Directory, pieza clave en redes Windows para definición de políticas de seguridad, autenticación y autorización de usuarios.
FXMSP sería un grupo de hackers de habla rusa y sus principales objetivos siempre han sido redes corporativas y de gobierno.
En abril de 2018, FXMSP anunció que tenía acceso a información de una cadena hotelera que operaba en Europa, África y Sudamérica. Los hackers también atacaron al Ministerio de Finanzas de Ghana, al gobierno colombiano y a varias compañías de inversión en todo el mundo.
Fuentes:

Anonymous prepara ataque bancario a escala global

Hace algunas horas fue dado a conocer mediante el Twitter de Bank Security un aviso del grupo hacktivista Anonymous, el cual indica que serán atacados bancos a nivel mundial.
Mediante los hastags #Anonymous #‎OpIcarus #ShutDownTheBanks ya se están informando las primeras víctimas de este ataque, que corresponderían a bancos en Australia e Italia.
La lista de principales objetivos se encuentra publicada en https://ghostbin.com/paste/m2uoo e incluye a prácticamente todos los bancos centrales del mundo, incluyendo al Banco Central de Chile

No se descarta que bancos privados (no centrales ni estatales) también sean víctimas de estos ataques por lo que se recomienda preparar defensas por posibles ataques de tipo DDoS y SQLi
Noticia en desarrollo

Nuevo ransomware se propaga rápidamente en China, infectando sobre 100.000 computadores

Un nuevo ransomware se está propagando rápidamente en China. Este ya ha infectado más de 100.000 computadores en los últimos cuatro días como resultado de un ataque de cadena de producción, y el número de afectados crece cada hora.
Algo interesante en este malware es que no demanda un pago en Bitcoins, en vez de eso los atacantes solicitan el pago de 100 yuanes (cerca de 16 dólares) como rescate mediante WeChat Pay (el sistema de pagos ofrecido por la aplicación de mensajería más usada en China).
Al contrario de las epidemias de WannaCry y NotPetya que ocasionaron caos a nivel mundial el año pasado, este ransomware sólo está afectando a usuarios de China.
Además, incluye una habilidad adicional de robar las contraseñas de los usuarios de Alipay, NetEase, Baidu Cloud Disk, Jingdong, Taobao, Tmall, AliWangWang y QQ.
De acuerdo a lo informado por la empresa china de ciberseguridad Velvet Security, los atacantes agregaron un código malicioso en el software de programación “EasyLanguage”, utilizado por un gran número de desarrolladores.
El programa modificado maliciosamente está diseñado para inyectar este ransomware en cada aplicación y software compilado por esta plataforma, en otro ejemplo de un ataque en cadena de producción para distribuir el malware rápidamente.
Este malware encripta todos los archivos en el sistema infectado, exceptuando aquellos con extensión .gif, .exe, y .tmp.
Para defenderse de los antivirus tradicionales, los atacantes firmaron el código de su malware con una firma digital de confianza de Tencent Technologies, esto además evita que se encripten datos de algunos directorios específicos como “Tencent Games”, “League Of Legends”, entre otros.
Si el rescate no es pagado en el tiempo indicado, el malware amenaza con borrar la llave de desencriptación de sus servidores de comando y control.
Junto con la encriptación de archivos y el robo de credenciales, este ransomware ademas colecta información del equipo infectado: modelo de CPU, resolución de pantalla, información de la red y un listado del software instalado.
Los investigadores de ciberseguridad encontraron que el ransomware fue programado de manera simple y los atacantes mienten acerca del proceso de encriptación, ya que la nota de rescate indica que los archivos fueron encriptados utilizando el algoritmo DES, pero en realidad están encriptados con un algoritmo mucho menos seguro llamado Xor y además almacena una copia de la llave de desencriptación localmente en %user%AppDataRoamingunname_1989dataFileappCfg.cfg
Usando esta información, Velvet Security creó una herramienta de desencriptación gratuita que puede desencriptar los archivos fácilmente sin la necesidad de pagar por algún rescate.
Debido a la innovación en la forma que se están produciendo las amenazas, de forma cambiante continuamente, es recomendado contar con alguna herramienta de protección avanzada de amenazas y análisis de comportamiento como Sophos Intercept X
Fuente: https://thehackernews.com/2018/12/china-ransomware-wechat.html

Otras herramientas de hackeo de NSA están siendo utilizadas en ataques (DarkPulsar y otras)

Industrias de aeroespacio, energía nuclear, I+D y otras, han sido atacadas utilizando poderosas herramientas elaboradas por la Agencia Nacional de Seguridad de Estados Unidos de Norteamérica (NSA).
De acuerdo a investigadores de laboratorios Kaspersky, los atacantes combinan herramientas filtradas desde la NSA como DarkPulsar, DanderSpritz y FuzzBunch para infectar máquinas Windows Server 2003 y 2008, 50 organizaciones de Rusia, Irán y Egipto ya fueron víctimas de este procedimiento.
DanderSpritz consiste meramente en plugins para recopilar inteligencia, utiliza exploits y examina máquinas previamente controladas. Está escrito en Java y provisiona una interfaz gráfica similar a los paneles administrativos de los botnets, y también una consola similar a la de Metasploit. Además incluye sus propios backdoors y plugins para las victimas que no están controladas por FuzzBunch.
FuzzBunch por otra parte ofrece un framework para distintas utilidades que interactúan y trabajan juntas. Contiene varios tipos de plugins que estan diseñados para analizar víctimas, explotar vulnerabilidades, programar tareas, etc.
DarkPulsar es un backdoor que puede ser utilizado por los atacantes en conjunto con FuzzBunch para ganar acceso remoto al servidor objetivo.
Una vez que el backdoor se encuentra operativo, los atacantes pueden utilizar los pluins de DanderSpritz para monitorear y exfiltrar datos desde las máquinas infectadas.
Cada herramienta soporta una cantidad de plugins diseñados para diferentes tareas, los de FuzzBunch sirven para reconocimiento y hackear el sistema objetivo, los de DanderSpritz son usados para la administración de las víctimas ya infectadas.
El hallazgo de esta última ola de ataques es muy importante para demostrar que las amenazas pueden encadenarse desde herramientas de hackeo y exploits desarrolladas por un Estado con el objetivo de crear un poderoso paquete de ataque. También demuestra como los hackers pueden combinar herramientas para realizar operaciones de hackeo con alta sofisticación.
El descubrimiento del backdoor DarkPulsar ayudó a entender su rol como un puente entre estos frameworks previamente filtrados, también como ellos son parte de la misma plataforma de ataque, diseñados para un compromiso de los activos objetivo a largo plazo, basándose en la avanzada facultad de DarkPulsar de persistir y ocultarse.
La implementación de estas capacidades, como por ejemplo, el encapsulamiento del tráfico en protocolos legítimos y el evitar tener que utilizar credenciales de acceso para pasar la autenticación, son altamente profesionales.
Es importante recordar que existen parches de seguridad para estas vulnerabilidades.
Estas herramientas fueron expuestas por el grupo Shadow Brokers en marzo de 2017 y el pack completo se transa en 250 Bitcoins en la dark web.

Para detectar una infección con estas herramientas (si no ha parchado aún, aunque debería) es necesario monitorear el puerto 445, además de un par de sockets que aparecerán en lsass.exe. Cuando DanderSpritz despliega su carga PeddleCheap mediante el plugin PcDllLauncher, la actividad de la red aumenta considerablemente.
Luego cuando una conexión a la máquina infectada se termina y la actividad de la red vuelve a la normalidad, sólo quedan los sockets de lsass.exe
IOCs:
Malware – 96f10cfa6ba24c9ecd08aa6d37993fe4
Ruta – %SystemRoot%System32sipauth32.tsp
Regkey – HKLMSoftwareMicrosoftWindowsCurrentVersionTelephonyProviders
Fuentes: https://securityaffairs.co/wordpress/77278/hacking/darkpulsar-nsa-hacking-tools.html
https://securelist.com/darkpulsar/88199/

Combinar 3 vulnerabilidades críticas podría permitir la toma de control de routers D-Link

Investigadores de Silesian University of Technology, en Polonia, descubrieron diversas fallas que pueden ser explotadas para tomar el control de algunos routers D-Link.
Las vulnerabilidades halladas son: Directory Traversal (CVE-2018-10822), Password almacenada en texto plano (CVE-2018-10824), e Inyección de comandos en Shell (CVE-2018-10823).
Esto es debido a múltiples vulnerabilidades en el servidor httpd de los routers D-Link, las cuales se encuentran presentes en diversos modelos. Al utilizar estas 3 vulnerabilidades combinadas permiten tomar el control total del router, incluyendo ejecución de código.
Algunos de los modelos afectados son: DWR-116, DWR-111, DWR-140L, DIR-640L, DWR-512, DWR-712, DWR-912, y DWR-921.
La vulnerabilidad de Directory Traversal, permite al atacante que la explota, la facultad de leer archivos arbitrariamente utilizando llamadas HTTP. Anteriormente esta vulnerabilidad fue reportada a D-Link con el CVE-2017-6190, pero el fabricante no mitigó correctamente esta falla. Esto permite que el atacante obtenga acceso al archivo que guarda la contraseña del administrador del dispositivo en texto plano.
Guardar contraseñas en texto plano es seguida con el CVE-2018-10824. Para evitar una explotación masiva, los investigadores no revelaron la ruta donde se encuentra el archivo de las contraseñas.
La otra vulnerabilidad permite que un atacante no autorizado ejecute comandos de forma arbitraria y de esta forma tomar el control total del dispositivo.
Esta situación ya fue comunicada oportunamente a D-Link, pero este fabricante aún no ha tomado acción al respecto, es por esto que se estas vulnerabilidades se hicieron públicas.
Mientras se espera una actualización de seguridad para estos routers, se recomienda que no se les permita acceso desde Internet.
Los investigadores publicaron un video para demostrar este ataque