Grupo hacker que al parecer respalda Rusia accede a emails de departamentos de Justicia y Tesoro
Un grupo hacker que, según varias fuentes, estaría respaldado por Rusia, ha estado durante un tiempo accediendo y vigilando el tráfico interno de correos electrónicos de, entre otras agencias estadounidenses, los departamentos de Justicia y Tesoro del país. Según Reuters, además, varias fuentes cercanas a la investigación temen que esto pueda ser tan solo la punta del iceberg. De hecho, el hackeo es tan grave que el pasado sábado se convocó en la Casa Blanca una reunión del Consejo de seguridad nacional al respecto.
Hay pocos detalles más sobre hasta dónde ha afectado el suceso en los distintos departamentos del Gobierno de Estados Unidos, o sobre qué agencias pueden haberse visto afectadas por él. Apenas un comunicado del Departamento de Comercio confirmando que ha habido una brecha en una de sus agencias, y que han pedido al FBI y a la CISA (Agencia de ciberseguridad y de infraestructura de seguridad) que investiguen lo sucedido.
Además de esta confirmación, dos fuentes han asegurado que las brechas de seguridad producidas por el grupo hacker están conectadas con una campaña de ataques más a amplia, relacionada con el hackeo a la empresa de ciberseguridad, con contratos tanto con el gobierno como con varias empresas, FireEye, recientemente confirmado. Mientas tanto, el Ministro de asuntos exteriores de Rusia ha calificado a las acusaciones de que están detrás del ataque como otro intento sin base de los medios estadounidenses de culpar a Rusia.
Al parecer, los miembros del grupo hacker se habrían colado en los sistemas de las agencias sin ser detectados alterando actualizaciones publicadas por la compañía tecnológica SolarWinds, que da servicio a la rama ejecutiva de clientes gubernamentales, así como a diversos servicios militares y de inteligencia. Este truco, al que habitualmente se conoce como «ataque de cadena de suministro», funciona escondiendo código malicioso en actualizaciones de software legítimas facilitados a los objetivos por terceros.
En una declaración al respecto, la texana SolarWinds ha asegurado que las actualizaciones de su software de monitorización y control publicadas entre marzo y junio de este año pueden haver sido contaminadas con lo que han descrito como «un ataque de cadena de suministro por parte de un país altamente sofisticado y dirigido«. La compañía no ha ofrecido más detalles, pero al hilo de estas declaraciones, la diversidad de su base de clientes ha hecho crecer la preocupación por el ataque en la comunidad de inteligencia de Estados Unidos, que cree que otras agencias del gobierno pueden estar en riesgo.
Entre los clientes de SolarWinds están la mayoría de grandes empresas de la lista Fortune 500, los 10 principales proveedores de telecomunicaciones de Estados Unidos, las cinco ramas del ejército de Estados Unidos, el Departamento de Estado, la NSA y la Oficina del Presidente de Estados Unidos.
Estos ciberataques han llevado a que el grupo hacker, gracias al ataque efectuado a través de las actualizaciones de SolarWinds hayan sido capaces de «engañar» a los controles de identificación de la plataforma de Microsoft. Así, los hackers han podido acceder al software de ofimática empleado en las entidades atacadas, Office 365, vigilando los emails de la agencia al parecer durante varios meses.
Esta brecha supone un gran problema para la futura Administración Biden, cuando falta poco más de un mes para que ocupen el gobierno en Estados Unidos, sobre todo porque aún no se sabe qué información se ha robado y para qué se puede haber utilizado. La investigación en curso, además, puede llevar meses o años en culminar y concretar qué organismos y empresas se han visto afectados, y hasta qué punto. Por ahora se desconoce el alcance total de la brecha, ya que la investigación está dando todavía sus primeros pasos. Sólo hay algunos indicios de que los mensajes de correo electrónico han estado vigilados desde este verano, algo que se ha descubierto hace muy poco.
Fuente: Muycomputerpro
Corea del Norte ha lanzado un ciberataque contra AstraZeneca por la vacuna contra la COVID-19
No es la primera vez que se acusa a Corea del Norte de llevar a cabo ciberataques contra determinados entes o empresas para conseguir unos objetivos concretos (dinero, principalmente), pero en esta ocasión nos encontramos con una situación que, desde luego, no nos habríamos podido imaginar.
Se ha identificado un movimiento por parte de crackers norcoreanos que ha centrado sus últimos ataques en AstraZeneca, el gigante farmacéutico mundial con sede en Reino Unido que, como sabrán muchos de nuestros lectores, ha sido la responsable de la creación de la vacuna contra la COVID-19
Todavía está por ver qué grado de eficacia tiene realmente dicha vacuna, pero con la situación de pandemia en la que nos encontramos actualmente está claro que cualquier ayuda es bien recibida, y que una vacuna con un nivel de eficacia aceptable y sin efectos secundarios graves podría generar ingentes cantidades de dinero.
Con esto en mente es fácil entender qué intereses podría tener ese grupo de ciberdelincuentes norcoreanos al centrar sus ataques en AstraZeneca. Cualquier información de importancia relacionada con la vacuna, o con otros aspectos relevantes de la COVID-19, podría adquirir un gran valor en el mercado, lo que convierte a la farmacéutica en un objetivo muy rentable.
Las primeras informaciones indican que no hay una confirmación plena de que los ataques que ha sufrido la farmacéutica provengan de Corea del Norte, pero tampoco hay muchas dudas al respecto, de hecho la propia Microsoft ha logrado establecer una vinculación entre dos grupos de ciberdelincuentes norcoreanos y los últimos ataques dirigidos a varios grupos dedicados al desarrollo de vacunas.
Algunos de los que participaron en el último ataque contra AstraZeneca utilizaron direcciones de correo rusas, pero esto podría ser perfectamente un simple intento de desviar la atención y de señalar a un falso culpable sin esfuerzo.
Corea del Norte ha seguido la táctica de siempre, negar las acusaciones y decir que este es otro intento por parte de Estados Unidos de ensuciar su imagen a nivel internacional. El caso es que todas las pruebas apuntan a ella, y los antecedentes que arrastran, unidos al enorme valor de la vacuna contra la COVID-19, no juegan precisamente a su favor.
#ciberataque #robodatosvacunacovid19 #vacunacoranovirus #robodeinformacion #protecciondedatos #ciberseguridad
.
Detectadas más de 1.200 tiendas online afectadas por un skimmer
Conseguir «colar» un skimmer en una tienda online es, sin duda, uno de los objetivos más perseguidos por ciberdelincuentes y organizaciones dedicadas a la robo en Internet. Es algo lógico, ya que obtener los datos de pago de todos los clientes que pasen por la misma es, todavía en bastantes casos, una puerta abierta a la cuenta corriente o a la línea de crédito de las víctimas. Y es por ello que hay algunos grupos que se especializan en este tipo de ataques,
El investigador de seguridad Max Kersten acaba de publicar, en su web, los resultados sobre datos que ha recopilado sobre un ataque de este tipo. Y ,a conclusión es, sin duda, preocupante, porque habla de de más de 1.200 tiendas comprometidas. Una acción que, aunque Kersten no lo confirma, sí que apunta a que tendría detrás al peligroso grupo MageCart. Un actor al que ya conocemos de anteriores acciones, en ataques muy sonados, como los sufridos por Brithish Airways o Ticket Master, entre otros.
Según el investigados los skimmers son, técnicamente hablando, bastante sencillos y semejantes entre sí. La captura de datos se realiza obteniendo todos los formularios o todos los campos de entrada, obteniendo el dominio actual, codificando los datos y enviando posteriormente los datos al servidor del atacante. Esto, por norma general, suele hacer más complejo averiguar quién se encuentra tras los ataques que con otro tipo de patógenos más complejos.
En el caso de la operativa habitual de MageCart, los skimmers a menudo se alojan en sitios web haciendo uso de una biblioteca JavaScript de terceros que se ha visto comprometida, o mediante una biblioteca JavaScript que solo contiene skimmer y que se encuentra en un dominio que es propiedad de la organización. Los datos introducidos en el formulario de pago (incluidos los de la tarjeta de crédito) se copian y se envían a un servidor controlado por el atacante justo antes de que sean remitidos al sistema de pago online.
Parte de las tiendas recogidas por Kersten en su informe ya habían sido documentadas por otros investigadores previamente. Según afirma en el mismo informe, en el que cita explícitamente a esas personas y entidades, ha sido agregar toda esa información, más la recopilada por él mismo, en un único punto, que facilite la localización de todos los sitios afectados por el skimmer. Algo especialmente útil para los usuarios, que en una sola página podrán revisar si alguna de las tiendas online que han empleado se encuentra en la lista.
Para cada sitio afectado se muestra el periodo de tiempo en el que se realizaron las pruebas. Algunas datan de 2018, mientras que otras son de las últimas semanas. A más antigüedad, más posibilidades de que el problema haya sido solventando, pero esto no es una garantía. Hemos revisado algunas de ellas y, por su diseño, pese a que se mantienen operativas, no parecen haber experimentado cambios (al menos en su diseño) desde hace bastante tiempo. El skimmer podría seguir ahí.
#ciberseguridad #ciberataque #ciberdelincuente #protecciondedatos #usofraudulentodedatos #skimmer #phising #robotiendasonline
Fuente: Muyseguridad
Cómo mejorar la seguridad en Internet en 10 pasos
La seguridad en Internet está amenazada por todo tipo de malware, el robo de datos o la invasión a la privacidad. La era de la movilidad, la domótica, el coche inteligente o la Internet de las Cosas, han aumentado enormemente los dispositivos conectados, la manera de alojar información y el modo de acceder a servicios y aplicaciones en línea de todo tipo con las que conectamos a diario centenares de millones de usuarios, aumentando los riesgos de seguridad para consumidores y empresas.
El auge de fenómenos como el BYOD, a pesar de sus múltiples ventajas, es todo un desafío para los departamentos TI ante la multiplicación del número de dispositivos que se conectan a las redes empresariales y tienen acceso a los datos corporativos. Más aún, el aumento del teletrabajo y tele-estudio por la pandemia del coronavirus ha complicado la situación de la ciberseguridad al sacar fuera de las redes perimetrales empresariales (generalmente mejor protegidas que las caseras) millones de equipos.
Seguridad en Internet
Conseguir el 100% de seguridad y privacidad en una red global y en un mundo tan conectado es simplemente imposible a pesar de la mejora de la protección por hardware y software implementada por fabricantes de equipos y proveedores de sistemas y aplicaciones.
Sin embargo, desde el apartado del cliente podemos y debemos aumentar la protección observando una serie de consejos como los que te vamos a recordar en este artículo y que incluyen el fortalecimiento de las cuentas on-line, aplicaciones, equipos y las precauciones debidas en el uso de Internet y sus servicios. Y mucho, mucho sentido común.
1- Protege los navegadores
Todos los navegadores web incluyen características avanzadas de seguridad cuya activación debemos revisar y configurar porque son las aplicaciones con las que accedemos a Internet y sus servicios. Además de revisar el cifrado de extremo a extremo en la sincronización o el aislamiento de procesos (sandbox), debemos prestar atención a los avisos sobre sitios inseguros. También debemos revisar las extensiones instaladas porque algunas son fuente frecuente de introducción de malware.
Para mejorar la privacidad, nada mejor que usar el modo incógnito, una función que hoy ofrecen todos los grandes proveedores como sesión temporal de navegación privada que no comparte datos con el navegador, no guarda información sobre páginas web, ni historial de navegación, caché web, contraseñas, información de formularios, cookies u otros datos de sitios web, borrando éstas u otros archivos temporales cuando finalizamos la sesión.
2- Gestiona bien las contraseñas
Las violaciones masivas de la seguridad de los servicios de Internet están a la orden del día y con ello millones de contraseñas quedan expuestas. La realidad es que las contraseñas son un método horrible tanto en seguridad como en usabilidad, pero hasta que no se consoliden métodos más avanzados que tienen que llegar de la identificación biométrica, tenemos que seguir utilizándolas.
La regla de oro es tener una contraseña fuerte y distinta para cada sitio web. Las contraseñas largas y aleatorias previenen los ataques de fuerza bruta y el uso de una contraseña diferente para cada cuenta evita tener todas ellas comprometidas a la vez cuando se produce una violación de datos. Los gestores de contraseñas que sean capaces de generar y recordar decenas de contraseñas, son una buena herramienta para reducir los errores humanos.
3- Usa la autenticación de dos factores
La autenticación de dos factores (o en dos pasos) proporciona un nivel adicional de seguridad en las cuentas ya que no basta con vulnerar el nombre de usuario y contraseña. El servicio está disponible en la mayoría de servicios importantes de Internet y conviene utilizarlo siempre que podamos.
Generalmente, utiliza un código de verificación servido mediante una aplicación móvil o SMS, como un mecanismo para confirmar la identidad del usuario pero añadiendo seguridad adicional al uso de las contraseñas. Este método, dificulta enormemente los ciberataques, especialmente los de ‘fuerza bruta’.
4- Utiliza soluciones de seguridad
Sistemas operativos como Windows incluyen la solución de seguridad nativa Windows Defender como protección básica para un consumidor. Es lo mínimo que debemos usar o -mejor- apostar por los proveedores especializados que ofrecen un buen número de soluciones de seguridad, muchas de ellos gratuitas. Usuarios avanzados o profesionales deberían valorar el uso de una suite de seguridad comercial integral y también otras herramientas de seguridad como un firewall.
Sistemas de cifrado de datos como BitLocker, disponible en algunas ediciones de Windows, son de gran utilidad para usuarios empresariales, ya que permite cifrar o “codificar” los datos de un equipo para mantenerlos protegidos haciendo frente a amenazas como el robo de datos o la exposición en caso de pérdida, el robo o la retirada inapropiada de equipos.
5- Actualiza sistemas operativos y aplicaciones
Todos los sistemas operativos tienen mecanismos automáticos o manuales para instalar actualizaciones de seguridad. Son parches de seguridad que se entregan cada cierto tiempo contra amenazas conocidas y son de obligada instalación.
Tan importante -o más- que lo anterior es la actualización de aplicaciones instaladas a las últimas versiones ya que éstas suelen incluir parches de seguridad. Cuando las versiones son más antiguas, tienen mayor riesgo de ser atacadas por ciberdelincuentes que encuentran vulnerabilidades en el programa, con especial incidencia en algunas como Java, Adobe Flash o Reader.
6- Cuidado con las redes inalámbricas gratuitas
Los puntos de acceso gratuitos se han extendido por múltiples zonas en poblaciones, zonas de restauración, aeropuertos, estaciones de tren o metro, hoteles y en todo tipo de negocios. Varios estudios han confirmado la inseguridad intrínseca de estas redes inalámbricas públicas y la facilidad de los ciberdelincuentes para aprovecharlas.
Deben evitarse siempre que se puedan optando por redes de banda ancha móvil dedicadas de mayor seguridad y en su defecto solo usarse para navegación intrascendente y ocasional, sin emplearlas para accesos a servicios delicados como banca on-line o aquellos que requieran autenticación real de usuario.
7- Usa VPN para mejorar la privacidad
El uso de redes privadas virtuales es una opción para los que buscan una mayor privacidad y con ello mayor seguridad en Internet, ya que ocultan la dirección IP del usuario y redirigen el tráfico a través de un túnel VPN cifrado.
Ese grado de «invisibilidad» ofrece mejoras directas de seguridad contra ataques informáticos, de privacidad frente al robo de datos y la apropiación de identidades, y otras ventajas añadidas como proteger la identidad en línea, salvaguardar las transacciones electrónicas y compras por Internet o permitir seguridad en el uso de redes Wi-Fi públicas.
8- Valora las llaves de seguridad hardware para cuentas vitales
Para cuentas vitales, especialmente en entornos empresariales, conviene hacer una inversión adicional para proteger las cuentas usando un mecanismo de seguridad por hardware. Generalmente es un dispositivo en formato pendrive que se conecta a un puerto USB y contiene un motor de cifrado de alta seguridad.
Todo el proceso se realiza dentro del hardware y aunque no se han mostrado totalmente infalibles cuando utilizando conexiones por Bluetooth, por lo general aumentan enormemente la seguridad que logramos mediante software.
9- Utiliza copias de seguridad
Ya decíamos que la seguridad al 100% en una red global no existe y no sólo por el malware, ya que un error en el hardware puede provocar la pérdida de la preciada información personal y/o profesional. La realización de copias de seguridad es por tanto altamente recomendable para un usuario y profesional que pretenda proteger la información personal y corporativa de un equipo informático. además de ser una tarea de mantenimiento que contribuye a la salud del hardware.
Las copias de seguridad deben almacenarse en un dispositivo de almacenamiento externo al de nuestro equipo o en un servicio de almacenamiento en nube que ante cualquier ataque nos permita recuperar los datos.
10- Sentido común
La prudencia es una de las barreras preferentes contra el malware y conviene extremar la precaución contra ataques de phishing o ransomware que a poco que prestemos atención podremos prevenir, porque usan el descuido del usuario.
Para ello, debemos evitar la instalación de aplicaciones de sitios no seguros; la apertura de correos electrónicos o archivos adjuntos no solicitados que llegan de redes sociales o aplicaciones de mensajería; la navegación por determinadas páginas de Internet; o usar sistemas operativos y aplicaciones sin actualizar, que contienen vulnerabilidades explotables por los ciberdelincuentes en las campañas de malware.
Fuente: Muyseguridad
Un ciberataque detiene la producción mundial de Honda
Un ataque de ransomware ha tenido en jaque al fabricante japonés Honda en varias de sus plantas. Según hemos podido leer en The Telegraph, la producción en fábricas de automóviles de Ohio y Turquía y de motocicletas en India y Sudamérica ha tenido que ser detenida por este ciberataque.
Detrás estaba el malware Ekans, un tipo de ransomware que se dirige a los sistemas de control industrial utilizados para operar fábricas y exige el pago para abrirlos nuevamente. El virus infectó uno de los servidores de la compañía, aunque según un portavoz de la compañía la brecha de seguridad no supuso la cesión de ningún dato.
Honda publicó en Twitter el lunes por la noche que sus divisiones de Servicio al Cliente y Servicios Financieros estaban«experimentando dificultades técnicas» y no estaban disponibles.
Un portavoz de Honda ha confirmado a The Telegraph que «las operaciones fuera de Japón habían sufrido un impacto»y el medio informa de que algunos envíos de vehículos se han retrasado. «Se está trabajando para minimizar el impacto y restaurar la funcionalidad completa de las actividades de producción, ventas y desarrollo», dijeron desde la compañía.
Un investigador experto en ciberseguridad ha publicado fragmentos del código de ransomware que parecían mostrar que el software había sido diseñado específicamente para un ataque contra Honda.
No es la primera vez que Honda es blanco de ciberdelincuentes: una de las plantas de la compañía en Japón tuvo que suspender en 2017 temporalmente la producción después de que su red fuera atacada por el ransomware WannaCry.
#ciberataque #ciberdelincuente #ataqueciberneticohonda #robodeinformacion #usoinapropiadodedatos
Fuente: Ultimahora