El equipo de seguridad de Talos de Cisco advierte sobre una campaña de compromiso de credenciales a gran escala que está atacando indiscriminadamente a las redes con intentos de inicio de sesión destinados a obtener acceso no autorizado a VPN, SSH y cuentas de aplicaciones web.

Los intentos de inicio de sesión utilizan tanto nombres de usuario genéricos como nombres de usuario válidos dirigidos a organizaciones específicas. Cisco incluyó una lista de más de 2.000 nombres de usuario y casi 100 contraseñas utilizadas en los ataques, junto con casi 4.000 direcciones IP que enviaban el tráfico de inicio de sesión. Las direcciones IP parecen originarse en nodos de salida TOR y otros túneles y servidores proxy anónimos. Los ataques parecen ser indiscriminados y oportunistas en lugar de estar dirigidos a una región o industria en particular.

«Dependiendo del entorno objetivo, los ataques exitosos de este tipo pueden provocar acceso no autorizado a la red, bloqueos de cuentas o condiciones de denegación de servicio», escribieron el martes los investigadores de Talos. «El tráfico relacionado con estos ataques ha aumentado con el tiempo y es probable que siga aumentando».

Los ataques comenzaron a más tardar el 18 de marzo.

El aviso del martes llega tres semanas después de que Cisco advirtiera sobre una campaña de ataque similar. Cisco lo describió como un spray de contraseña dirigido a VPN de acceso remoto de Cisco y proveedores externos conectados a los firewalls de Cisco. Esta campaña parecía estar relacionada con esfuerzos de reconocimiento, dijo la compañía.

Los ataques incluyeron cientos de miles o millones de intentos de autenticación rechazados. Cisco continuó diciendo que los usuarios pueden recibir de forma intermitente un mensaje de error que dice: “No se puede completar la conexión. Cisco Secure Desktop no está instalado en el cliente”. Los intentos de inicio de sesión que resultan en el error no logran completar el proceso de conexión VPN. El informe también informó «síntomas de fallas en la asignación de tokens de hostscan».

Un representante de Cisco dijo que los investigadores de la compañía actualmente no tienen evidencia para vincular de manera concluyente la actividad en ambos casos con el mismo actor de amenaza, pero que existen superposiciones técnicas en la forma en que se llevaron a cabo los ataques, así como en la infraestructura que se utilizó.

Talos dijo el martes que los servicios a los que se dirige la campaña incluyen, entre otros:

• VPN de firewall seguro de Cisco
• VPN de punto de control
• VPN Fortinet
• SonicWallVPN
• Servicios web de DR
• microtik
• Draytec
• Ubiquiti.

Las IP de anonimización parecían pertenecer a servicios, entre ellos:

• COLINA
• Puerta VPN
• Representante IPIDEA
• Proxy de mamá grande
• Proxies espaciales
• Proxy Nexus
• Estante de proxy.

Cisco ya agregó la lista de direcciones IP mencionada anteriormente a una lista de bloqueo para sus ofertas de VPN. Las organizaciones pueden agregar las direcciones a las listas de bloqueo de cualquier VPN de terceros que estén utilizando. Aquí encontrará una lista completa de indicios de compromiso.

Cisco también ha proporcionado una lista de recomendaciones para evitar que los ataques tengan éxito. La orientación incluye:

• Habilitar el registro detallado, idealmente en un servidor syslog remoto para que los administradores puedan reconocer y correlacionar ataques en varios puntos finales de la red.
• Proteger las cuentas de acceso remoto predeterminadas mediante sumideros a menos que utilicen los perfiles DefaultRAGroup y DefaultWEBVPNGroup
• Bloquear intentos de conexión de fuentes maliciosas conocidas
• Implemente listas de control de acceso a nivel de interfaz y plano de control para filtrar direcciones IP públicas no autorizadas y evitar que inicien sesiones VPN remotas.
• Utilice el comando evitar.

Además, las VPN de acceso remoto deben utilizar autenticación basada en certificados. Cisco enumera pasos adicionales para reforzar las VPN aquí.

Estos son los cuatro hombres que mataron a casi 150 personas e hirieron a más de 100 en el Ayuntamiento de Crocus en Moscú. Todos son de Tayikistán y pertenecen a un nuevo grupo terrorista: IS-K, una rama de IS. IS-K también está planeando ataques contra Europa. Francia ha declarado el nivel de alerta terrorista más alto tras el ataque en Moscú. La Ministra Federal del Interior alemana, Nancy Faeser, también ve una grave amenaza terrorista y al EI-K como la “mayor amenaza islamista”. En este vídeo te explicamos quién está detrás del grupo.

Los talibanes volverán al poder en Afganistán en agosto de 2021. Mientras se llevan a cabo las evacuaciones, los terroristas atacan el aeropuerto de Kabul. Mueren 183 personas. Los terroristas pertenecen al IS-K, el Estado Islámico de Khorasan. El grupo surgió en 2015 como una rama del EI y lleva el nombre de la provincia de Khorasan, una región histórica de Asia Central que, además de Afganistán, también incluye partes de Uzbekistán, Kirguistán y Tayikistán. Aunque lleva el nombre del Estado Islámico, no tiene mucho que ver con él: la organización está completamente descentralizada y cada rama del Estado Islámico hace lo que quiere.

IS-K tiene su base en Afganistán. Allí, el EI-K ataca principalmente a los talibanes; su gobierno no es lo suficientemente islamista para el EI-K. Sin embargo, IS-K no tiene mucho éxito en Afganistán: sólo controla unas pocas aldeas y es capaz de llevar a cabo cada vez menos ataques. Como suele ocurrir con las organizaciones terroristas, el grupo se está volviendo más activo en el extranjero. Miembros del EI-K dispararon contra una docena de personas en un mausoleo en el Irán chiíta el 26 de octubre de 2022; El 30 de julio de 2023, varias decenas en un mitin electoral en Pakistán. El 4 de enero de 2024, el EI-K ataca un servicio conmemorativo del general iraní Qassem Soleimani, matando a casi 100 personas.

Y más recientemente atacó la sala de conciertos de Moscú, porque el presidente ruso Putin apoya a Assad de Siria y porque Putin aplastó brutalmente a los insurgentes musulmanes chechenos hace 20 años. IS-K está reclutando en toda la región de Khorasan y cada vez más en Tayikistán, de donde proceden los atacantes de Moscú. Tayikistán es el país más pobre de Asia Central. Es un país autoritario; el presidente ha estado en el poder desde 1992 y se espera que su hijo lo suceda. Apenas hay esperanzas de una vida mejor para la gente. Las mejores condiciones para reclutar terroristas. Y el IS-K se está expandiendo hacia el oeste con la ayuda de los nuevos reclutas.

Ya ha señalado a Holanda y Suecia como objetivos porque los extremistas de derecha quemaron allí el Corán. En la Navidad de 2023, cuatro tayikos serán detenidos en Austria y siete en Alemania. Los hombres habían planeado ataques contra iglesias céntricas y conocidas: en Colonia, la catedral de Colonia y en Viena, la catedral de San Esteban. Así que IS-K tiene a Europa en la mira.

Por cierto, el hecho de que IS-K tenga algo que ver con Ucrania es claramente desinformación que está difundiendo el gobierno ruso. No hay pruebas de ello, pero por supuesto es práctico tener un chivo expiatorio, sobre todo porque el aparato de seguridad ruso en Moscú ha fracasado por completo y simplemente ha ignorado la advertencia de un ataque de los servicios secretos estadounidenses.

Lo que necesitas saber

• Si bien Xbox aún no lo ha confirmado, la evidencia en video es bastante convincente de que un exploit de Minecraft permite a las personas engañar a Xbox para que prohíba cualquier cuenta que quieran.
• La versión Java de Minecraft parece ser susceptible y el exploit es bastante fácil de realizar.
• YouTuber Nick (@GhillieYT) informa que se ha convertido en víctima de este exploit, con toda su cuenta de Xbox prohibida debido a informes falsos de acosadores que abusan de este exploit.

Xbox ha tenido muchos problemas recientemente con su sistema de prohibiciones. Nosotros reportado No hace mucho tiempo, las grabaciones de Baldur’s Gate 3 DVR podrían provocar que tu cuenta fuera prohibida si grababas y subías alguna de las escenas íntimas del juego. Ahora parece haber otra marca negra en el sistema automatizado de control de contenido de Xbox que ha permitido que un creador de contenido sea baneado por lo que parece no ser culpa suya, aunque todavía tenemos que escuchar una respuesta de Microsoft sobre si el YouTuber violó una política que justificaba la prohibición.

Entonces, ¿qué está pasando realmente aquí? ¿Cómo es que un exploit en Minecraft permite que personas malintencionadas en línea prohíban a los creadores de contenido u otros usuarios de Xbox? Vamos a ver.

¿Cómo es posible que un exploit de Minecraft prohíba a la gente?

Un ataque contra el Banco Central de Haití en Puerto Príncipe, la capital, fue repelido y varios atacantes murieron, informó el martes (19 de marzo) a la Agencia France-Presse (AFP) una fuente del establecimiento.

El Banco de la República de Haití (BRH) es una de las pocas instituciones que no ha huido de Puerto Príncipe, actualmente en manos de un 80% de las bandas, acusadas de numerosos abusos, en particular asesinatos, violaciones, saqueos y secuestros para rescate.

Un grupo de «Bandidos» atacó sus instalaciones el lunes, afirmó a la AFP una fuente del BRH que prefirió mantener el anonimato. “Nuestros agentes de seguridad, junto con la policía y el ejército, repelieron el ataque. Murieron entre tres y cuatro bandidos”, ella dijo. Uno de los agentes de seguridad del BRH resultó herido de bala, dijo.

El Banco, por su parte, dijo el martes en la red social “profundamente agradecidos con nuestros oficiales y la Policía Nacional por su vigilancia y compromiso continuo para proteger a nuestra comunidad”. “Ante un incidente ocurrido ayer cerca de las instalaciones del BRH (…)la policía y el equipo de seguridad de la institución reaccionaron con profesionalismo y eficiencia”ella dijo.

La situación en Puerto Príncipe sigue siendo “tenso y volátil”dijo el martes Farhan Haq, portavoz adjunto del secretario general de la ONU, Antonio Guterres. “Siguen siendo atacados escuelas, hospitales y edificios gubernamentales”, él continuó. Varios barrios quedaron privados de electricidad tras los ataques a postes eléctricos denunciados el domingo por la compañía eléctrica haitiana.

Ola de violencia desde principios de marzo

La isla caribeña, que ya atravesaba una grave crisis política y de seguridad, se ve azotada por una ola de violencia desde principios de mes, cuando bandas unieron fuerzas para atacar lugares estratégicos en Puerto Príncipe, en el marco de una lucha obligar al Primer Ministro, Ariel Henry, a dejar el poder. Muy discutido, este último, que no pudo regresar a su país después de un viaje a Kenia, anunció su dimisión hace una semana, afirmando que su gobierno gestionaría los asuntos actuales hasta la instauración de un consejo presidencial de transición.

Durante una reunión de emergencia el lunes con representantes de Haití, la ONU y Estados Unidos, entre otros, la Comunidad del Caribe (Caricom) y sus socios encargaron a los partidos políticos haitianos y al sector privado implementar estas autoridades de transición. Pero las negociaciones para formar este organismo de siete miembros votantes se han retrasado, particularmente debido a disensiones internas.

Catorce cadáveres fueron encontrados el lunes en Pétion-Ville, un suburbio rico de Puerto Príncipe, según la AFP. No se sabe en qué circunstancias fueron asesinadas las personas.

Los piratas informáticos han comenzado a explotar en masa una tercera vulnerabilidad que afecta al ampliamente utilizado dispositivo VPN empresarial de Ivanti, según muestran nuevos datos públicos.

La semana pasada, Ivanti dijo que había descubierto dos nuevas fallas de seguridad, rastreadas como CVE-2024-21888 y CVE-2024-21893, que afectan a Connect Secure, su solución VPN de acceso remoto utilizada por miles de corporaciones y grandes organizaciones en todo el mundo. Según su sitio web, Ivanti tiene más de 40.000 clientes, incluidas universidades, organizaciones sanitarias y bancos, cuya tecnología permite a sus empleados iniciar sesión desde fuera de la oficina.

La divulgación se produjo poco después de que Ivanti confirmara dos errores anteriores en Connect Secure, rastreados como CVE-2023-46805 y CVE-2024-21887, que los investigadores de seguridad dijeron que los piratas informáticos respaldados por China habían estado explotando desde diciembre para irrumpir en las redes de los clientes y robar información. .

Ahora los datos muestran que una de las fallas recientemente descubiertas (CVE-2024-21893, una falla de falsificación de solicitudes del lado del servidor) está siendo explotada masivamente.

Aunque desde entonces Ivanti ha parcheado las vulnerabilidades, los investigadores de seguridad esperan que se produzca un mayor impacto en las organizaciones a medida que más grupos de piratas informáticos exploten la falla. Steven Adair, fundador de la empresa de ciberseguridad Volexity, una empresa de seguridad que ha estado rastreando la explotación de las vulnerabilidades de Ivanti, advirtió que ahora que el código de prueba de concepto de explotación es público, «cualquier dispositivo sin parches accesible a través de Internet probablemente se haya visto comprometido varias veces». encima.»

Piotr Kijewski, director ejecutivo de Shadowserver Foundation, una organización sin fines de lucro que escanea y monitorea Internet en busca de explotación, dijo a TechCrunch el jueves que la organización ha observado más de 630 IP únicas que intentan explotar la falla del lado del servidor, que permite a los atacantes obtener acceso. a datos en dispositivos vulnerables.

Eso es un fuerte aumento en comparación con la semana pasada cuando Shadowserver dijo había observado 170 IP únicas intentando explotar la vulnerabilidad.

Un análisis de la nueva falla del lado del servidor muestra que el error se puede explotar para evitar la mitigación original de Ivanti para la cadena de explotación inicial que involucra las dos primeras vulnerabilidades, haciendo que esas mitigaciones previas al parche sean discutibles.

Kijewski añadió que Shadowserver está observando actualmente alrededor de 20.800 dispositivos Ivanti Connect Secure expuestos a Internet, frente a los 22.500 de la semana pasada, aunque señaló que no se sabe cuántos de estos dispositivos Ivanti son vulnerables a la explotación.

No está claro quién está detrás de la explotación masiva, pero los investigadores de seguridad atribuyeron la explotación de los dos primeros errores de Connect Secure a un grupo de hackers respaldado por el gobierno de China, probablemente motivado por el espionaje.

Ivanti dijo anteriormente que estaba al tanto de la explotación «dirigida» del error del lado del servidor dirigida a un «número limitado de clientes». A pesar de las repetidas solicitudes de TechCrunch esta semana, Ivanti no quiso comentar sobre los informes de que la falla está siendo explotada masivamente, pero no cuestionó los hallazgos de Shadowserver.

Ivanti comenzó a lanzar parches para los clientes para todas las vulnerabilidades junto con un segundo conjunto de mitigaciones a principios de este mes. Sin embargo, Ivanti señala en su aviso de seguridad, actualizado por última vez el 2 de febrero, que «primero lanza parches para el mayor número de instalaciones y luego continúa en orden decreciente».

No se sabe cuándo Ivanti pondrá los parches a disposición de todos sus clientes potencialmente vulnerables.

Los informes de otra falla de Ivanti explotada masivamente llegan días después de que la agencia de ciberseguridad estadounidense CISA ordenara a las agencias federales que desconectaran urgentemente todos los dispositivos VPN de Ivanti. La advertencia de la agencia hizo que CISA les diera a las agencias solo dos días para desconectar los electrodomésticos, citando la «seria amenaza» que plantean las vulnerabilidades bajo ataque activo.

Mientras exploras alrededor mundo palEn el vasto mapa y buscando agregar más amigos a tu grupo, una cosa que querrás considerar es qué tan fuerte es tu grupo en la batalla. Algunas especies de Pal son excelentes para usar como montura o son excelentes trabajadores en tu base, pero solo unas pocas pueden presumir de ser las mejores en la batalla.

Entonces, para aquellos que buscan crear el grupo más fuerte posible, aquí hay una lista de niveles de Palworld para las criaturas más fuertes del juego.

Lista de niveles de Palworld: mejores luchadores de Pal

Dado que hay 113 amigos en Palworld, esta lista de niveles solo contiene los 40 mejores amigos para evitar que el gráfico se vuelva demasiado rebelde.

(dpa) Un buque portacontenedores danés fue atacado dos veces en 24 horas en el Mar Rojo, según el ejército estadounidense. El domingo por la mañana, el ejército respondió a una segunda llamada de emergencia del “Maersk Hangzhou”, anunció el comando regional estadounidense responsable en la Plataforma X. En consecuencia, la tripulación informó de un nuevo ataque por parte de la milicia hutí yemení.

Las cuentas de Steam de varios desarrolladores de juegos fueron recientemente comprometidas y utilizadas para actualizar sus juegos con malware. Menos de 100 usuarios de Steam tenían los juegos instalados cuando se agregó el malware y fueron notificados directamente del riesgo por correo electrónico, según Valve. La compañía confirmó los detalles de la historia, informados a principios de esta semana por el fundador del boletín GameDiscoverCo. Simón Carlessen un correo electrónico a PC Gamer hoy.

Aunque este intento de utilizar Steam para distribuir malware no fue muy efectivo, Valve ha dado un paso importante para evitar que esto vuelva a suceder. A partir del 24 de octubre, los desarrolladores de juegos deberán pasar una verificación de autenticación de dos factores antes de actualizar la rama predeterminada de un juego lanzado: la versión que Steam entregará automáticamente en una actualización automática a la mayoría de los jugadores que la tengan instalada.

Hombres armados refugiados en un monasterio, armas pesadas disparando contra la policía, un policía asesinado: la situación en el norte de Kosovo era caótica el domingo, con las autoridades de Pristina acusando al «crimen organizado apoyado por funcionarios de Belgrado». «Hay al menos 30 profesionales, soldados o policías armados, que están actualmente rodeados por nuestras fuerzas policiales y a quienes invito a entregarse», describió a los periodistas el primer ministro Albin Kurti, mostrando imágenes de hombres armados en el patio de un monasterio.

Albin Kurti denunció inmediatamente un ataque “criminal y terrorista” y acusó a “funcionarios de Belgrado” de ofrecer apoyo logístico y financiero “al crimen organizado”. «Es un ataque a Kosovo», añadió el presidente, Vjosa Osmani. «Estos ataques demuestran, si aún fuera necesario, el poder desestabilizador de las bandas criminales, organizadas por el Serbiaque han desestabilizado durante mucho tiempo a Kosovo y la región», escribió en un comunicado, llamando a los aliados de Kosovo a apoyar al país «en sus esfuerzos por establecer la paz y el orden y preservar la soberanía sobre toda la República de Kosovo».

Desde un conflicto que dejó 13.000 muertos, en su mayoría albanokosovares, relaciones entre los dos antiguos enemigos pasar de crisis en crisis. Serbia, apoyada en particular por sus aliados rusos y chinos, se niega a reconocer la independencia de su antigua provincia, cuya población de 1,8 millones de habitantes, mayoritariamente de origen albanés, incluye una comunidad serbia de unas 120.000 personas, que viven principalmente en el norte de Kosovo.

Esta región es, pues, escenario de disturbios recurrentes: la tensión aumentó repentinamente en mayo, cuando las autoridades kosovares decidieron nombrar alcaldes albaneses en cuatro municipios de mayoría serbia. Una decisión que desencadenó uno de los peores episodios de la historia de tensiones en el norte del país en años, con manifestaciones, la detención de tres policías kosovares por parte de Serbia y un violento motín de manifestantes serbios que dejó más de 30 heridos entre las fuerzas de paz. fuerzas de OTAN.

La comunidad internacional ha instado a ambas partes a reducir la tensión en varias ocasiones y ha subrayado que la adhesión de Belgrado y Pristina a la Unión Europea podría verse comprometida por esta renovada violencia. Pero hace diez días, los últimos intentos de diálogo entre el Primer Ministro de Kosovo, Albin Kurti, y el Presidente serbio, Aleksandar Vucic, fracasaron al cabo de apenas unas horas.

La parte serbia desea, como condición previa para cualquier discusión, obtener una forma de asociación de las comunidades serbias en el norte, mientras que la parte kosovar tiene como condición previa el reconocimiento por parte de Belgrado de la independencia de Kosovo.

Un hombre atacó a un grupo de niños de 2 a 3 años con un cuchillo el jueves por la mañana en un parque infantil a orillas del lago de Annecy, en la región de Saboya, en el este de Francia. Hirió de muerte a cuatro niños pequeños y un adulto antes de que interviniera una patrulla de policía estacionada no muy lejos de la escena del crimen. Los cuatro niños ahora están en condición estable, dijo la policía.

Los agentes detuvieron al atacante, que resultó herido leve por un disparo durante la intervención. La segunda persona adulta también fue golpeada por la policía, pero no resultó herida de gravedad. Dos de los niños y un adulto luchaban por sobrevivir al final de la tarde en el hospital del servicio de urgencias de Annecy y Ginebra. Entre los atacados se encontraban hijos de turistas de Holanda y Gran Bretaña.

Los motivos de este terrible ataque aún no estaban claros. Sin embargo, como ya ha anunciado, el fiscal responsable en Annecy no ve «ningún motivo terrorista». Se conoce la identidad del perpetrador. Según los papeles que portaba tiene 31 años y nacionalidad siria. Se dice que está casado con una sueca y es padre de un niño de 3 años en Suecia.

Un sirio reconocido como refugiado en Suecia

Tras llegar a Francia en octubre de 2022, solicitó asilo, aunque ya había sido reconocido como refugiado en Suecia 10 años antes. Por lo tanto, es residente legal en la UE. Dado que ya había recibido una decisión positiva en Suecia, el procedimiento para solicitar asilo en Francia se ha interrumpido.

Hablaba inglés cuando fue arrestado. Según información de los círculos policiales, el presunto autor se describe a sí mismo como un «cristiano de Siria»: cargaba una cruz durante su ataque con cuchillo y tenía consigo un libro de oraciones cristiano. Hasta el momento, las autoridades no se han percatado de él de ninguna manera y no se le conocía por ningún problema psiquiátrico ni estaba siendo tratado.

En un primer momento circularon versiones diferentes ya veces contradictorias sobre el curso del ataque. Un vídeo difundido por el canal de noticias LCI muestra una escena previa a la detención: el presunto autor, un hombre barbudo con gafas de sol oscuras, con un pañuelo en la cabeza al estilo beduino y amenazando con un cuchillo en la mano derecha, corre por el césped. Lo sigue un joven (vestido de civil) que quiere intervenir, usando una mochila como escudo. Al parecer, los sirios atacaron específicamente a los niños pequeños.

En el mismo canal de televisión LCI, un testigo presencial, el exfutbolista Anthony Le Tallec, asegura que mientras trotaba junto al lago de repente notó que la gente huía, una mujer le dijo: «¡Cuidado, un tipo quiere matar a todos con un cuchillo!». Luego se vio a sí mismo cómo atacaba a un “abuelo” y amenazaba a otras personas.

Las madres habrían gritado y se habrían parado protectoramente frente a sus hijos, otras personas habrían tratado de intervenir. Llamó a los policías que corrían: «¡Dispárenle!» Pero habían dudado “durante mucho tiempo”. Esta afirmación fue negada por un portavoz del sindicato policial, quien dijo que la policía había llegado al lugar cuatro minutos después del ataque inicial. Otros testigos dijeron que habían visto al sospechoso en los días anteriores sentado en un banco cerca del patio de recreo. Lo tomaron por un «SDF», una persona sin hogar.

Macron: «Cobardía absoluta»

Francia estaba profundamente conmocionada por este hecho sangriento indescriptible. En la Asamblea Nacional, el debate fue interrumpido por un minuto de silencio, todas las facciones políticas expresaron su preocupación y manifestaron su solidaridad con las familias de los niños de Annecy. El presidente Emmanuel Macron condenó el acto como «cobardía absoluta». Dado que el arrestado es un refugiado sirio, las polémicas sobre la política migratoria no se hicieron esperar.

La primera ministra Élisabeth Borne y el ministro del Interior Gérald Darmanin llegaron a Annecy a primera hora de la tarde. En una conferencia de prensa el jueves por la tarde, Borne advirtió que no se especule ni se explote el ataque. En cambio, se debe esperar los resultados de la investigación y el interrogatorio del perpetrador.