Puertas traseras en favicons, Binance en peligro, Twitter premium y más.
- Grupo de ransomware que hackeó oleoducto en Estados Unidos cerró operaciones
- Binance investigada por presunto lavado de dinero
- Servicio de salud de Irlanda apagó sus sistemas informáticos debido a ataque de ransomware
- Twitter tendrá una versión premium con costo
- Ciberdelincuentes accedieron a código fuente de Rapid7
- Puertas traseras en favicons de páginas web
Todo esto en el notihack del día de hoy!
Grupo de ransomware que hackeó oleoducto en Estados Unidos cerró operaciones
DarkSide, el grupo de ciberdelincuentes acusado de atacar Colonial Pipeline, la mayor red de oleoductos de Estados Unidos cerró operaciones según informaron el pasado viernes dos compañías de ciberseguridad estadounidenses.
Tal como te lo contamos en el notihack de la semana pasada, este grupo de ransomware atacó exitosamente Colonial Pipeline y ganó la nada despreciable cantidad de $5 millones de dólares por el rescate.
Sin embargo, parece que el “éxito” les duró poco, ya que según FireEye e Intel 471, DarkSide comunicó el jueves a sus afiliados que dejaría de ofrecer programas de “ransomware” para realizar ciberataques.
Darkside explicó que una parte “pública” de su infraestructura fue “alterada”, por una agencia de seguridad no especificada.
De acuerdo con la información del blog del grupo, el sitio de internet que empleaba para cobrar los rescates y la red que utilizaba para hospedar los datos robados han sido supuestamente decomisados por las autoridades.
Mientras que sus ganancias en criptomonedas fueron movidas a una “cuenta desconocida”.
Para compensar a sus colaboradores, Darkside se comprometió a entregarles “herramientas de descifrado”, para que pudieran acceder a los datos de las empresas víctimas de sus ciberataques y que aún no han pagado los rescates.
El grupo le ha dado libertad a sus afiliados para contactar con esas compañías cuando quieran, aparte de ofrecerles su “servicio de soporte”.
No es raro que los grupos que se dedican a llevar acabo ciberataques de ransomware se desmantelen, para después regresar operando con otro nombre.
Recordemos que el FBI acusó el lunes a “Darkside” como responsable de la infracción que dejó fuera de servicio durante varios días a la red de oleoductos en Estados Unidos operada por Colonial Pipeline.
Colonial anunció el miércoles que reanudó las operaciones del oleoducto, aunque les tomaría días regresar a la normalidad.
Binance investigada por presunto lavado de dinero
El Departamento de Justicia de Estados Unidos y el Servicio de Impuestos Internos están investigando a Binance, por presunto lavado de dinero y delitos fiscales.
Por si no lo sabes, Binance es la plataforma de intercambio de criptomonedas más importante del mundo.
Déjame decirte que la noticia no ha tenido un buen impacto entre las principales criptomonedas, que de por sí ya estaban cayendo debido a que Elon Musk, CEO de Tesla, anunció que ya no permitirían pagos con bitcoin debido a su impacto ambiental.
El bitcoin bajó más de un 12% el pasado jueves al punto de llegar a los 48,000 dólares; con esta disminución las pérdidas semanales llegaron hasta el 15%.
Una caída muy similar experimentó el ethereum, que bajó un 11% hasta llegar a los 3,672 dólares.
En los últimos meses, Estados Unidos ha mostrado en varias ocasiones su preocupación por el posible uso de las criptomonedas para ocultar transacciones ilegales, como robos y tráfico de drogas.
Una preocupación que se agravó tras el ataque al principal oleoducto de Estados Unidos. Recordemos que la compañía habría pagado a los ciberdelincuentes casi 5 millones en bitcoins.
No obstante, Binance afirmó en Twitter que la compañía se toma muy en serio las obligaciones legales y colaboran constantemente con las instituciones reguladoras y las autoridades.
Además, Binance afirma que ha trabajado arduamente para construir un sólido programa de cumplimiento que incluye los principios y herramientas contra el lavado de dinero utilizados por las instituciones financieras, para detectar y abordar la actividad sospechosa.
Ante estas declaraciones es importante mencionar, que en octubre del año pasado, Forbes publicó una nota que describía lo que, según afirmaba, eran los planes de Binance para evitar a los reguladores estadounidenses.
Binance respondió demandando al editor por difamación, aunque todo indica que la compañía retiró la demanda.
Servicio de salud de Irlanda apagó sus sistemas informáticos debido a ataque de ransomware
No hay duda que el ransomware es el tema de moda en los ataques cibernéticos. Todos los días nos enteramos de nuevos ataques que afectan a diferentes instituciones, tanto privadas como públicas.
Ahora resulta que el Health Service Executive (HSE) irlandés, el sistema de salud financiado con fondos públicos del país, cerró todos sus sistemas informáticos el pasado viernes después de que su red fuese vulnerada en un ataque de ransomware.
El presidente ejecutivo del HSE, Paul Reid, reveló que se trataba de un ataque de ransomware que buscaba obtener acceso a los datos de los sistemas. El responsable detrás de dicho ataque fue el grupo Conti.
Vale la pena mencionar que este grupo de ransomware también atacó a la Agencia de Protección Ambiental de Escocia (SEPA) en vísperas de Navidad, y luego publicó aproximadamente 1.2 GB de datos robados en su sitio de filtración en la dark web.
El ransomware Conti se detectó por primera vez en ataques aislados a finales de diciembre de 2019. Hasta la fecha sabemos que este ransomware comparte código con el peligroso Ransomware Ryuk.
Los operadores de Conti son conocidos por vulnerar redes empresariales y propagarse lateralmente hasta obtener acceso a las credenciales de administrador de dominio que les permiten implementar los payloads de ransomware sin archivos.
Conti opera como un Ransomware como servicio (RaaS) privado que recluta a ciberdelincuentes para implementar el ransomware a cambio de un gran porcentaje obtenido de cualquier rescate pagado.
En nueva información surgida este lunes nos hemos enterado que Conti está exigiendo $20 millones de dólares a cambio de no revelar más de 700 GB de información que afirman haber robado. El grupo asegura que tiene en su poder entre otros datos, información de los pacientes e información de los empleados.
Las autoridades irlandesas han asegurado que no pagarán el monto exigido. Así que tendremos que esperar unos días más para ver el desenlace de esta historia.
Twitter tendrá una versión premium con costo
Según reportes, Twitter ha estado trabajando durante mucho tiempo en un servicio de suscripción a través del cual pretende ofrecer a los suscriptores funciones premium adicionales. Los primeros detalles sobre el servicio de suscripción de la compañía se han filtrado recientemente y afirman que el servicio se llamará “Twitter Blue”.
El servicio de suscripción tendría un costo de $2.99 al mes. Una de las características que formarán parte de “Twitter Blue” será la capacidad de deshacer un tweet enviado.
La investigadora de seguridad Jane Manchun Wong compartió los detalles sobre el servicio de suscripción de Twitter en Twitter. La plataforma de redes sociales confirmó previamente que estaba trabajando en una función para deshacer tweets, aunque nunca mencionó que solo estaría disponible para suscriptores de pago.
Según la investigadora, twitter permitirá a los suscriptores premium seleccionar la duración del temporizador para deshacer tweets entre 5 y 30 segundos.
Además de deshacer tweets, Twitter también ofrecerá “Colecciones” a sus suscriptores de pago. Esto te permitirá guardar y organizar tus tweets favoritos en Colecciones para que sean más fáciles de encontrarlos cuando los busques. Hay que destacar que esta es una de las funciones más solicitadas por muchos usuarios de Twitter.
El servicio de suscripción de Twitter aún está en desarrollo y no tenemos noticias de la compañía sobre cuándo lo lanzaría. Por lo tanto, es posible que el precio de suscripción de $2.99 por mes cambie antes de que la función se active.
El servicio de suscripción será importante para Twitter, ya que le permitiría generar ingresos adicionales. Recordemos que Twitter no ha logrado crecer al mismo ritmo que Facebook, Instagram y otras plataformas de redes sociales a pesar de jugar un papel importante en muchos eventos clave durante la última década. Por lo tanto, ahora busca expandir sus fuentes de ingresos ofreciendo un servicio de suscripción a sus usuarios existentes.
Ciberdelincuentes accedieron a código fuente de Rapid7
Rapid7 reveló un ataque que afectó a los datos de sus clientes y, parcialmente su código fuente debido a un ataque a la cadena de suministro de Codecov.
El jueves 13 de este mes la firma de ciberseguridad afirmó que fue una de las víctimas de un incidente en el que un atacante obtuvo acceso al script de la herramienta Bash Uploader de Codecov.
Recordemos que el ciberataque contra Codecov tuvo lugar alrededor del 31 de enero de 2021 y se hizo público el 15 de abril. Codecov, una empresa de testing de software, afirmó que un ciberdelincuente manipuló el script del Bash Uploader, comprometiendo así el código de diferentes herramientas de la empresa.
En el incidente, cientos de clientes se vieron potencialmente afectados y, ahora, Rapid7 confirmó que la empresa era uno de ellos.
Rapid7 afirma que el Bash Uploader se usó de manera limitada, ya que solo se configuró en un único servidor de integración continua (CI). La empresa utiliza este servidor para probar y construir herramientas internamente para el servicio Managed Detection and Response (MDR).
Como tal, el atacante se mantuvo alejado del código del producto, pero pudo acceder a un “pequeño subconjunto de repositorios de código fuente” para el MDR y credenciales internas.
Rapid7 asegura haberse puesto en contacto con todos los clientes afectados por la infracción de datos.
La empresa solicitó asistencia cibernética y, tras una investigación, llegó a la conclusión de que ningún otro sistema corporativo o entorno de producción se vio comprometido.
Desde la revelación del incidente, Codecov eliminó al actor no autorizado de sus sistemas y configuró herramientas de monitoreo y auditoría para tratar de evitar que ocurra otro ataque a la cadena de suministro similar en el futuro.
Los clientes afectados fueron notificados a través de sus direcciones de correo electrónico registradas en la plataforma y a través de la aplicación de Codecov.
Puertas traseras en favicons de páginas web
Los cibercriminales se esfuerzan mucho por implementar nuevos métodos de ataque. Por ejemplo, el grupo de cibercriminales Magecart está distribuyendo ‘shells’ web PHP disfrazadas de ‘favicons’ para mantener acceso a los servidores comprometidos e inyectar ‘skimmers’ desarrollados en JavaScript con el objetivo de robar información bancaria de los usuarios.
En caso de que no lo sepas, Magecart es el nombre colectivo de un conjunto de al menos 7 grupos criminales que están detrás de muchos de los ataques de Skimming Web.
Los skimmers o formJacking desarrollados en JavaScript se suelen inyectar en sitios web de comercio electrónico con la intención de capturar los detalles de la tarjeta de los clientes en tiempo real y transmitirlos a un servidor de comando y control.
Normalmente funcionan mediante una solicitud del lado del cliente a un recurso externo alojado en un dominio controlado por el atacante. Sin embargo, este último ataque es un poco diferente porque el código del skimmer se introduce directamente en el sitio web víctima de forma dinámica en el lado del servidor.
En este caso la shell web se hace pasar por un ‘favicon’ llamado «Magento.png» manipulando las etiquetas del icono de acceso directo en el código HTML para apuntar al archivo de imagen PNG falso. Esta shell web, a su vez, está configurada para descargar el skimmer desde el servidor de comando y control.
Es importante mencionar que los ciberdelincuentes de Magecart han adoptado una amplia gama de vectores de ataque durante los últimos meses para permanecer fuera del radar, evitar la detección y robar datos.
Esta hazaña es un ejemplo claro de las novedosas tácticas utilizadas por ciberdelincuentes.
¿Sabías que?
El 21 de mayo de 2013, hace 8 años, Microsoft presentó la consola de juegos: Xbox One, la sucesora de la Xbox 360.
El xbox one, salió a la venta el 22 de noviembre del 2013 a un precio de $499 dólares