1. Ransomware pide a las víctimas unirse a su servidor de Discord 
2. John McAfee en prisión por fraude de criptomonedas y lavado de dinero
3. WhatsApp cifrará copias de seguridad 
4. Autoridad Bancaria Europea revela sufrir un hackeo 
5. Linus Torvalds lanzó una actualización de emergencia en Linux
6. Un alarmante 60% de usuarios reutilizan sus contraseñas

Todo esto en el notihack del día de hoy!

Ransomware pide a las víctimas unirse a su servidor de Discord

Un nuevo ransomware de nombre ‘Hog’ está cifrando dispositivos de usuarios y solo los descifra si se unen al servidor Discord del desarrollador.

La semana pasada, el investigador MalwareHunterTeam encontró un descifrador en desarrollo para el Ransomware Hog. El descifrador requiere que las víctimas se unan a su servidor Discord para poder descifrar sus archivos.

El ransomware funciona de manera sencilla: cuando se ejecuta, verifica si existe un servidor Discord en particular y, si existe, comienza a cifrar los archivos de las víctimas.

Primero cifrar los archivos de la víctima y agrega la extensión .hog

Una vez que el ransomware termina de cifrar el dispositivo, esté inicia el descifrador llamado DECRYPT-MY-FILES.exe desde la carpeta de inicio de Windows.

El descifrador le explica a las víctimas lo que sucedió y luego pide que ingresen su token de usuario de Discord.

El token de Discord permite que el ransomware se autentique en las API´s de Discord como usuario y verifica si se unieron a su servidor.

Finalmente, si la víctima se une al servidor o el servidor no existe, el ransomware descifra los archivos de las víctimas utilizando una clave estática incrustada en el ransomware.

Si bien esto parece ser un ransomware en desarrollo, muestra cómo los ciberdelincuentes están usando Discord con más frecuencia para actividades maliciosas.

Cabe destacar que ciberdelincuentes también suelen utilizar Discord para distribuir malware o recopilar datos robados.

John McAfee en prisión por fraude de criptomonedas y lavado de dinero

John McAfee es toda una celebridad, frecuentemente aparece en las noticias por sus excentricidades y esta vez no es la excepción. 

Fiscales de Estados Unidos están acusando a John McAfee, fundador de la firma de ciberseguridad McAfee, y a su asesor ejecutivo, Jimmy Gale Watson Jr por un fraude de criptomonedas y lavado de dinero.

En total, McAfee, Watson y otros miembros del equipo de McAfee recolectaron más de $13 millones en 2 esquemas de reventas de criptomonedas, según lo comunicado en los documentos judiciales.

Entre diciembre del 2017 y enero del 2018 los acusados obtuvieron más de $2 millones de dólares en ganancias ilícitas a través del scalping de altcoins mediante una práctica fraudulenta conocida como esquema de ‘pump and dump’. Es decir, manipularon el precio de las criptomonedas.

Desde diciembre del 2017 hasta 2018, ganaron aproximadamente $11 millones de dólares al ejecutar un esquema paralelo para promover ofertas iniciales de monedas (ICO) de múltiples nuevas empresas. Para después ocultar los pagos que recibieron de los inversionistas de los ICO´s.

También entre diciembre del 2017 y octubre de 2018, McAfee, Watson y otro miembro del equipo también lavaron los ingresos de los activos digitales derivados de los esquemas de reventa y promoción de ICO´s.

Según las autoridades los acusados utilizaron la cuenta de Twitter de McAfee para publicar mensajes a cientos de miles de sus seguidores de Twitter que promocionan diversas criptomonedas a través de afirmaciones falsas y engañosas para ocultar sus verdaderos motivos.

McAfee y su colaborador están siendo acusados de 7 cargos con sentencias potenciales de entre cinco y 20 años de prisión.

McAfee fue arrestado y actualmente está detenido en España por otros cargos de evasión de impuestos presentados por la División de Impuestos del Departamento de Justicia de Estados Unidos el año pasado.

WhatsApp cifrará copias de seguridad

Todos sabemos que WhatsApp te permite realizar copias de seguridad de tus conversaciones en la nube. Sin embargo, debes saber que estas copias de seguridad no están cifradas, pero esto está por cambiar en las versiones más nuevas de la aplicación, ya que la empresa está trabajando para cifrar tus copias de seguridad en la nube.

Si bien la compañía no ha anunciado oficialmente que ofrecerá copias de seguridad cifradas en la nube, el usuario WABETAINFO ha publicado en Twitter que el trabajo para cifrar las copias de seguridad en la nube de WhatsApp está en progreso.

Básicamente, esto quiere decir que las versiones más nuevas de WhatsApp te permitirán aplicar cifrado a todas tus copias de seguridad en la nube. La función supuestamente estará disponible tanto en teléfonos iOS como Android.

Una vez que se implemente esta función, WhatsApp te pedirá que establezcas una contraseña para cifrar tus copias de seguridad en la nube. Esta contraseña no se enviará a WhatsApp y tampoco habrá forma de que la recuperes.

WhatsApp utilizará esta contraseña para cifrar el contenido de tu copia de seguridad. Una vez hecho esto, incluso si alguien logra hackear tu cuenta en la nube, no podrá ver las conversaciones almacenadas en tus copias de seguridad.

Actualmente, puedes hacer una copia de seguridad de tus conversaciones de WhatsApp y tus archivos multimedia en Google. Estas copias de seguridad no están cifradas, lo que significa que tus datos no están tan seguros.

Con el fin de aclarar algunas dudas que puedan surgir en torno a esta nueva función, déjame decirte que restaurar una copia de seguridad en la nube cifrada será tan fácil como restaurar una normal. Solo deberás ingresar la contraseña que utilizaste para cifrar tu respaldo. Una vez que hayas hecho esto, tu copia de seguridad comenzará a restaurarse.

Autoridad Bancaria Europea revela sufrir un hackeo 

La Autoridad Bancaria Europea (EBA) desactivó todos los sistemas de correo electrónico después de que sus servidores Microsoft Exchange fueran hackeados como parte de los ataques en curso, dirigidos a organizaciones de todo el mundo.

Si te estás preguntando ¿cuál es la función de esta organización?, déjame decirte que la ABE forma parte del Sistema Europeo de Supervisión Financiera y controla la integridad y el correcto funcionamiento del sector bancario de la Unión Europea (UE)

La organización afirma que está investigando el incidente para identificar, a qué datos accedieron los atacantes.

Tal como te lo contamos en un artículo de Hackwise de la semana pasada, Microsoft parcho varias vulnerabilidades zero-days que afectan a las versiones locales de Microsoft Exchange Server y que estaban siendo explotadas.

Al principio, Microsoft solo vinculó los ataques a un grupo de hackers patrocinados por China, llamado Hafnium.

Sin embargo, la compañía reveló que otros actores de amenazas están explotando las fallas de Exchange recientemente parcheadas.

Si bien aún no conocemos las identidades de los objetivos de Hafnium, Microsoft compartió una lista de sectores industriales previamente seleccionados por los atacantes. 

Hafnium ataca principalmente a entidades en los Estados Unidos con el propósito de extraer información de varios sectores industriales, incluidos: investigadores de enfermedades infecciosas, bufetes de abogados, instituciones de educación superior, contratistas de defensa, grupos de expertos en políticas y ONG´s.

En los ataques, los ciberdelincuentes implementan shells web que les permiten obtener acceso remoto a un servidor comprometido y a la red interna, incluso después de que los servidores estén parchados.

Microsoft ha actualizado su herramienta, Microsoft Safety Scanner para detectar shells web implementadas en estos ataques y un script de PowerShell para buscar indicadores de compromiso (IOC) en los archivos de registro de Exchange y Outlook en la web. 

Linus Torvalds lanzó una actualización de emergencia en Linux

Rompiendo con la tradición, el jefe del kernel de Linux, Linus Torvalds, publicó la versión más reciente antes de lo habitual para abordar un problema de corrupción del sistema de archivos en la versión anterior.

Torvalds notó que la versión 5.12 de la semana pasada dañaba el swapfile (archivo de intercambio), de una manera inusual que podría destruir todo el sistema de archivos en ciertas instalaciones. Antes de publicar la actualización para corregir el problema, Torvalds pidió no usar la versión 5.12 para evitar que cualquiera usará esa versión en particular en sus máquinas Linux.

Los candidatos a lanzamiento de Linux, a pesar de ser esencialmente lanzamientos en desarrollo, son sorprendentemente estables. Sin embargo, no están pensados ​​para máquinas en producción, están pensados ​​para que los desarrolladores prueben las nuevas funcionalidades. 

Un par de días después de que se lanzará la primera versión candidata a 5.12, se descubrió que destruía las instalaciones que usaban un archivo de intercambio (swapfile). Si bien la mayoría de las distribuciones de Linux usan particiones de intercambio y no se habrían visto afectadas por este error, algunas, como Ubuntu, utilizan de forma predeterminada un archivo de intercambio. 

El problema se resolvió pronto y ahora se ha fusionado un parche en la última versión candidata. Sin embargo, el incidente les ha dado a los desarrolladores un momento de reflexión.

Según Torvalds hay que recordar que la mayoría de las versiones han sido tan sólidas a lo largo de los años que la gente puede haber olvidado que este es código nuevo y por ende puede tener errores desagradables. Torvalds le recordó a los desarrolladores que nunca deben tener la tentación de usar la versión candidata en entornos de producción.

Un alarmante 60% de usuarios reutilizan sus contraseñas

El proveedor de seguridad SpyCloud descubrió que casi 1,500 millones de combinaciones de inicio de sesión vulneradas circulaban en línea el año pasado. También descubrió miles de millones de datos de información personal. No obstante, eso no es lo llamativo, lo verdaderamente alarmante es la cantidad de usuarios que reutilizan sus contraseñas.

SpyCloud presentó un Informe de exposición de credenciales 2021. En el que se compiló a partir de esfuerzos de inteligencia de la empresa los datos robados de redes criminales.

Recopilando unos 854 incidentes de infracciones de datos en 2020, un tercio más que en 2019, filtrando un promedio de 5.4 millones de registros cada uno.

La seguridad deficiente de las contraseñas es preocupante: para los usuarios a los que les robaron más de una contraseña el año pasado, SpyCloud descubrió que el 60% de las credenciales las reutilizaban en varias cuentas, exponiéndose a ataques de credential stuffing y otras tácticas de fuerza bruta.

Casi dos millones de contraseñas contenían “2020”, mientras que casi 200,000 incluían palabras clave relacionadas con COVID como “corona” y “pandemia”.

Como ya es costumbre, la contraseña más común fue “123456” (¡qué novedad!), seguida de “password” y “111111”.

Sin embargo, la culpa no es siempre de los usuarios comunes. En algunos casos, la culpa recae en las organizaciones encargadas de proteger los datos personales y los inicios de sesión de sus clientes. SpyCloud descubrió que un tercio de las contraseñas vulneradas usaban el débil algoritmo MD5.

La firma de seguridad también recuperó más de 4.6 mil millones de datos de información personal, incluidos nombres, direcciones, fechas de nacimiento, cargos laborales y URLs de redes sociales. 

Los hallazgos representan un riesgo de seguridad importante tanto para los usuarios como para las empresas ya que se están re utilizando muchas credenciales y direcciones de correo electrónico tanto en el mundo corporativo como en el personal.

¿Sabías que?

El 12 de marzo de 1989, hace 32 años, Tim Berners-Lee presentó una propuesta para un sistema distribuido a la Organización Europea para la Investigación Nuclear (CERN). 

Posteriormente, la propuesta se convertiría en la World Wide Web (WWW). La idea se concibió y desarrolló originalmente para satisfacer la demanda de intercambio automatizado de información entre científicos de universidades e institutos de todo el mundo. Y gracias a esto hoy podemos disfrutar de internet.