Un día de octubre pasado, los suscriptores de un ISP conocido como Windstream comenzaron a inundar los foros de mensajes con informes de que sus enrutadores habían dejado de funcionar repentinamente y no respondían a los reinicios ni a todos los demás intentos de reactivarlos.

«Los enrutadores ahora simplemente se quedan ahí con una luz roja fija en el frente», escribió un usuario, refiriéndose a los modelos de enrutador ActionTec T3200 que Windstream les proporcionó a ellos y a un vecino de al lado. «Ni siquiera responderán a un RESET».

En los mensajes, que aparecieron durante unos días a partir del 25 de octubre, muchos usuarios de Windstream culparon al ISP por el bloqueo masivo. Dijeron que fue el resultado de que la compañía impulsó actualizaciones que envenenaron los dispositivos. El servicio de banda ancha Kinetic de Windstream tiene alrededor de 1,6 millones de suscriptores en 18 estados, incluidos Iowa, Alabama, Arkansas, Georgia y Kentucky. Para muchos clientes, Kinetic proporciona un vínculo esencial con el mundo exterior.

«Tenemos 3 hijos y ambos trabajamos desde casa», escribió otro suscriptor en el mismo foro. «Esto nos ha costado fácilmente más de $1,500 en negocios perdidos, sin televisión, WiFi, horas en el teléfono, etc. Es muy triste que una empresa pueda tratar a los clientes así y no importarles».

Después de determinar finalmente que los enrutadores estaban permanentemente inutilizables, Windstream envió nuevos enrutadores a los clientes afectados. Black Lotus Labs ha nombrado el evento Pumpkin Eclipse.

Un acto deliberado

Un informe publicado el jueves por Black Lotus Labs de la firma de seguridad Lumen Technologies puede arrojar nueva luz sobre el incidente, que Windstream aún tiene que explicar. Los investigadores de Black Lotus Labs dijeron que durante un período de 72 horas que comenzó el 25 de octubre, el malware eliminó más de 600.000 enrutadores conectados a un único número de sistema autónomo, o ASN, que pertenece a un ISP anónimo.

Si bien los investigadores no identifican al ISP, los detalles que informan coinciden casi perfectamente con los detallados en los mensajes de octubre de los suscriptores de Windstream. Específicamente, la fecha en que comenzó el bloqueo masivo, los modelos de enrutadores afectados, la descripción del ISP y la visualización de una luz roja estática por parte de los enrutadores ActionTec fuera de servicio. Los representantes de Windstream se negaron a responder las preguntas enviadas por correo electrónico.

Según Black Lotus Labs, los enrutadores (estimados de manera conservadora en un mínimo de 600.000) fueron eliminados por un actor de amenazas desconocido con motivaciones igualmente desconocidas. El actor tomó medidas deliberadas para cubrir sus huellas mediante el uso de malware conocido como Chalubo, en lugar de un conjunto de herramientas desarrollado a medida. Una característica integrada en Chalubo permitió al actor ejecutar scripts Lua personalizados en los dispositivos infectados. Los investigadores creen que el malware descargó y ejecutó un código que sobrescribió permanentemente el firmware del enrutador.

«Evaluamos con gran confianza que la actualización de firmware malicioso fue un acto deliberado destinado a causar una interrupción, y aunque esperábamos ver una serie de marcas y modelos de enrutadores afectados en Internet, este evento se limitó a un solo ASN», dijo el jueves. El informe indicó antes de pasar a señalar las preocupantes implicaciones de que una sola pieza de malware corte repentinamente las conexiones de 600.000 enrutadores.

Los investigadores escribieron:

Los ataques destructivos de esta naturaleza son muy preocupantes, especialmente en este caso. Una porción considerable del área de servicio de este ISP cubre comunidades rurales o desatendidas; lugares donde los residentes pueden haber perdido el acceso a los servicios de emergencia, las empresas agrícolas pueden haber perdido información crítica del monitoreo remoto de los cultivos durante la cosecha y los proveedores de atención médica no pueden acceder a la telesalud ni a los registros de los pacientes. No hace falta decir que la recuperación de cualquier interrupción de la cadena de suministro lleva más tiempo en las comunidades aisladas o vulnerables.

Después de enterarse de la interrupción masiva del enrutador, Black Lotus Labs comenzó a consultar el motor de búsqueda de Censys para conocer los modelos de enrutador afectados. Una instantánea de una semana pronto reveló que un ASN específico experimentó una caída del 49 por ciento en esos modelos justo cuando comenzaron los informes. Esto significó la desconexión de al menos 179.000 enrutadores ActionTec y más de 480.000 enrutadores vendidos por Sagemcom.

La constante conexión y desconexión de enrutadores a cualquier ISP complica el proceso de seguimiento, porque es imposible saber si una desaparición es el resultado de la rotación normal o de algo más complicado. Black Lotus Labs dijo que una estimación conservadora es que al menos 600.000 de las desconexiones que rastreó fueron el resultado de que Chaluba infectó los dispositivos y, a partir de ahí, borró permanentemente el firmware en el que se ejecutaban.

Después de identificar el ASN, Black Lotus Labs descubrió un complejo mecanismo de infección de múltiples rutas para instalar Chaluba en los enrutadores. El siguiente gráfico proporciona una descripción lógica.

No existen muchos precedentes conocidos de malware que borre enrutadores en masa de la manera que presenciaron los investigadores. Quizás lo más cercano fue el descubrimiento en 2022 de AcidRain, el nombre dado al malware que inutilizó 10.000 módems del proveedor de Internet satelital Viasat. El apagón, que afectó a Ucrania y otras partes de Europa, coincidió con la invasión rusa del país vecino más pequeño.

Un representante de Black Lotus Labs dijo en una entrevista que los investigadores no pueden descartar que un estado-nación esté detrás del incidente de borrado del enrutador que afectó al ISP. Pero hasta ahora, los investigadores dicen que no tienen conocimiento de ninguna superposición entre los ataques y los grupos de estados-nación conocidos que rastrean.

Los investigadores aún tienen que determinar los medios iniciales para infectar los enrutadores. Es posible que los actores de la amenaza explotaran una vulnerabilidad, aunque los investigadores dijeron que no conocen ninguna vulnerabilidad conocida en los enrutadores afectados. Otras posibilidades son que el actor de la amenaza haya abusado de credenciales débiles o haya accedido a un panel administrativo expuesto.

Un ataque como ningún otro

Si bien los investigadores han analizado ataques a enrutadores domésticos y de pequeñas oficinas anteriormente, dijeron que dos cosas hacen que este último se destaque. Ellos explicaron:

Primero, esta campaña resultó en un reemplazo de hardware de los dispositivos afectados, lo que probablemente indica que el atacante dañó el firmware en modelos específicos. El evento no tuvo precedentes debido a la cantidad de unidades afectadas: ningún ataque que podamos recordar ha requerido el reemplazo de más de 600.000 dispositivos. Además, este tipo de ataque solo ha ocurrido una vez antes, con AcidRain utilizado como precursor de una invasión militar activa.

Continuaron:

El segundo aspecto singular es que esta campaña se limitó a una ASN en particular. La mayoría de las campañas anteriores que hemos visto apuntan a un modelo de enrutador específico o a una vulnerabilidad común y tienen efectos en las redes de múltiples proveedores. En este caso, observamos que los dispositivos Sagemcom y ActionTec se vieron afectados al mismo tiempo, ambos dentro de la red del mismo proveedor. Esto nos llevó a evaluar que no fue el resultado de una actualización de firmware defectuosa por parte de un solo fabricante, lo que normalmente sería limitado a un modelo o modelos de dispositivo de una empresa determinada. Nuestro análisis de los datos de Censys muestra que el impacto fue sólo para los dos en cuestión. Esta combinación de factores nos llevó a concluir que el evento probablemente fue una acción deliberada realizada por un actor cibernético malicioso no atribuido, incluso si no pudimos recuperar el módulo destructivo.

Sin tener una idea clara de cómo se infectaron los routers, los investigadores sólo pueden ofrecer los consejos genéricos habituales para mantener estos dispositivos libres de malware. Eso incluye instalar actualizaciones de seguridad, reemplazar las contraseñas predeterminadas por otras seguras y reiniciar periódicamente. Los ISP y otras organizaciones que administran enrutadores deben seguir consejos adicionales para proteger las interfaces de administración de los dispositivos.

El informe del jueves incluye direcciones IP, nombres de dominio y otros indicadores que las personas pueden usar para determinar si sus dispositivos han sido atacados o comprometidos en los ataques.

ADVERTENCIAS DE FRAUDE ACTUALES

23 de abril de 2024 a las 15:33

Disfrazado de aplicación legítima, el malware ingresa a su teléfono celular y roba sus datos bancarios. Así podrás reconocer la aplicación afectada y protegerte del ataque.

• Un malware muy peligroso se cuela en tu móvil disfrazado de aplicación normal.
• El malware “Vultur” te espía y roba tus datos bancarios.
• Le mostraremos cómo protegerse del ataque y qué aplicación debe eliminar.

Los ciberdelincuentes han vuelto a inventar algo nuevo para infectar tu smartphone y robar datos valiosos. Utilizan el malware altamente peligroso llamado “Vultur”. Desde que los expertos en seguridad lo descubrieron por primera vez en 2021, el malware se ha mejorado constantemente. Sin embargo, el modo de distribución sigue siendo similar.

“Vultur” llega a tu teléfono celular con la ayuda de aplicaciones cuentagotas. Se trata de aplicaciones que parecen legítimas y se ofrecen con un nombre falso. La ciberamenaza se esconde detrás de la fachada. Sus datos bancarios suelen ser el objetivo del ataque. El software infectado suele introducirse en Google Play Store y ofrecerse para su descarga. Esta vez, sin embargo, los delincuentes actúan de manera diferente.

Una combinación desagradable

La ola de ataques utiliza diferentes tipos de ciberamenazas, lo que la hace aún más peligrosa. El primer paso toma la forma de un mensaje de phishing que recibe por SMS. Se le advertirá sobre una transacción no autorizada en nombre de su banco. También habrá un número de teléfono al que deberás llamar para tu protección.

Si marca el número, un estafador levantará el teléfono y le pedirá que descargue la aplicación antivirus McAfee. Recibirás el enlace al software en otro SMS. Sin embargo, esto conduce a un sitio web falso de McAfee donde se le impone el software falso.

Si la aplicación está instalada en su teléfono inteligente Android, los estafadores obtienen acceso de terceros a ella. Como informa Bleeping Computer, de esta manera los piratas informáticos pueden desactivar la protección del dispositivo, acceder a sus datos confidenciales y también eludir las medidas de seguridad de sus aplicaciones bancarias. El malware sólo funciona en segundo plano y es muy difícil de detectar. Así ni siquiera te darás cuenta de que están revisando tu smartphone y saqueando tu cuenta bancaria.

malware peligroso

Según Zimperium, “Vultur” es uno de los diez programas maliciosos más peligrosos del mundo. Esto se debe principalmente a su amplia distribución y alta actividad. Las constantes mejoras lo convierten en una amenaza creciente. En 2023, “Vultur” atacó un total de 122 aplicaciones bancarias en 15 países.

La nueva variante «Vultur» puede descargar, cargar, eliminar, instalar y buscar archivos en el dispositivo. También puede imitar hacer clic, desplazarse y deslizarse. También puede omitir la pantalla de bloqueo y obtener acceso sin obstáculos a todo el contenido del teléfono inteligente.

Así te proteges

Aunque el malware representa un gran peligro, usted no está indefenso ante él. De hecho, puedes utilizar medidas muy sencillas para no caer en la trampa.

En primer lugar, no debes creer en los mensajes de números extraños. Especialmente si supuestamente provienen de su banco. Ninguna institución de crédito de buena reputación le pediría que le devolviera la llamada por SMS ni le enviaría un enlace a un programa antivirus. En general, nunca debes abrir enlaces desconocidos.

Las aplicaciones de terceros también están prohibidas. Descargue software únicamente de fuentes oficiales. Pero ten cuidado. Las aplicaciones falsas suelen estar ocultas en Google Play Store. Por tanto, consulta el fabricante, los comentarios y los permisos solicitados antes de cada descarga. Recomendamos además proporcionar protección antivirus a su teléfono Android. El verdadero programa antivirus de McAfee también te protege.

Incluso si las aplicaciones legítimas no infectan su teléfono inteligente con malware, aún pueden representar una amenaza para su privacidad. Para no estar constantemente bajo vigilancia por parte de grandes empresas, debes eliminar estas tres aplicaciones.

• » Consejo: Los mejores proveedores de VPN para mayor seguridad y protección de datos
• » Comprar central eléctrica para balcón: Comparación de los mejores sistemas solares.

ADVERTENCIAS DE FRAUDE ACTUALES

17 de abril de 2024 a las 9:03 am

El nuevo malware Aladdin infecta tu teléfono sin que sea necesario hacer clic ni descargarlo. El teléfono inteligente pasa entonces a formar parte de una red mundial de espionaje.

Hay muchas formas diferentes en que los ciberdelincuentes propagan malware para infectar su teléfono inteligente o su computadora. Además de los correos electrónicos de phishing, las aplicaciones preparadas o el malware en documentos son enfoques comunes. En el futuro, un nuevo malware podría suponer un desafío especial para la ciberseguridad debido a su forma de distribución.

Se dice que el software llamado Aladdin es capaz de infectar teléfonos inteligentes de forma totalmente desapercibida a través de publicidad online como, por ejemplo, banners. No es necesario hacer clic ni descargar. Este tipo de ataque se denomina exploit de clic cero. Una vez cargado el anuncio preparado en el navegador, ya es demasiado tarde y el malware está en su iPhone o teléfono móvil Android. Luego, el software espía recopila todos los datos que puede y los envía de vuelta a los atacantes.

Al igual que la revista griega Inside Story y el periódico israelí Haaretz destaparon el desarrollo de Aladdin. Sin embargo, de los documentos de la empresa a su disposición no queda claro si el malware ya está en el mercado.

Sin embargo, ya se ha realizado una prueba exhaustiva que confirma que el software funciona según lo esperado (prueba de concepto). Las pancartas contenían ofertas de trabajo dirigidas principalmente a diseñadores gráficos y activistas. Sus teléfonos móviles deberían estar infectados y monitoreados.

4 millones de euros para software

Detrás de esta tecnología se encuentra Intellexa Alliance, que ya ha desarrollado el potente troyano estatal Predator. Esto se propagó recientemente a través de una vulnerabilidad en iOS y a menudo se utiliza para espiar a organismos gubernamentales.

En 2018, el exoficial israelí Tal Dilian fundó Intellexa Alliance junto con colegas del ejército y el servicio secreto israelí. La sede del conglomerado empresarial se encuentra en Irlanda bajo el nombre de Thalestris. También hay filiales en Grecia, Suiza, Chipre y las Islas Vírgenes Británicas.

Fuentes de Inside Story y Haaretz afirman que Intellexa ofrece un paquete completo con 50 infecciones que incluye un año de garantía y soporte las 24 horas por cuatro millones de euros. Sin embargo, Aladdin aún no está incluido en este paquete. El ataque se limita a números locales en el país objetivo. La oferta no está disponible para números de teléfono de EE. UU., Grecia e Israel para evitar sanciones.

• » Consejo: Los mejores proveedores de VPN para mayor seguridad y protección de datos
• » Comprar central eléctrica para balcón: Comparación de los mejores sistemas solares.

Los piratas informáticos respaldados por el Kremlin han estado explotando una vulnerabilidad crítica de Microsoft durante cuatro años en ataques dirigidos a una amplia gama de organizaciones con una herramienta previamente no documentada, reveló el fabricante de software el lunes.

Cuando Microsoft parchó la vulnerabilidad en octubre de 2022, al menos dos años después de que fuera atacada por piratas informáticos rusos, la empresa no mencionó que estaba bajo explotación activa. En el momento de su publicación, el aviso de la compañía aún no mencionaba los objetivos en estado salvaje. Los usuarios de Windows frecuentemente priorizan la instalación de parches en función de si es probable que una vulnerabilidad sea explotada en ataques del mundo real.

La explotación de CVE-2022-38028, a medida que se rastrea la vulnerabilidad, permite a los atacantes obtener privilegios del sistema, los más altos disponibles en Windows, cuando se combina con un exploit independiente. Explotar la falla, que tiene una calificación de gravedad de 7,8 sobre 10 posibles, requiere pocos privilegios existentes y poca complejidad. Reside en la cola de impresión de Windows, un componente de administración de impresoras que ha albergado anteriores días cero críticos. Microsoft dijo en ese momento que se enteró de la vulnerabilidad a través de la Agencia de Seguridad Nacional de Estados Unidos.

El lunes, Microsoft reveló que un grupo de piratas informáticos rastreado con el nombre de Forest Blizzard ha estado explotando CVE-2022-38028 desde al menos junio de 2020, y posiblemente desde abril de 2019. El grupo de amenazas, que también está rastreado con nombres que incluyen APT28, Sednit, Sofacy, Unidad 26165 del GRU y Fancy Bear han sido vinculados por los gobiernos de Estados Unidos y el Reino Unido con la Unidad 26165 de la Dirección Principal de Inteligencia, un brazo de inteligencia militar ruso más conocido como GRU. Forest Blizzard se centra en la recopilación de inteligencia mediante el pirateo de una amplia gama de organizaciones, principalmente en Estados Unidos, Europa y Oriente Medio.

Desde abril de 2019, Forest Blizzard ha estado explotando CVE-2022-38028 en ataques que, una vez adquiridos los privilegios del sistema, utilizan una herramienta previamente no documentada que Microsoft llama GooseEgg. El malware posterior a la explotación eleva los privilegios dentro de un sistema comprometido y proporciona una interfaz sencilla para instalar piezas adicionales de malware que también se ejecutan con privilegios del sistema. Este malware adicional, que incluye ladrones de credenciales y herramientas para moverse lateralmente a través de una red comprometida, se puede personalizar para cada objetivo.

“Si bien es una aplicación de inicio simple, GooseEgg es capaz de generar otras aplicaciones especificadas en la línea de comando con permisos elevados, lo que permite a los actores de amenazas respaldar cualquier objetivo posterior, como la ejecución remota de código, la instalación de una puerta trasera y el movimiento lateral a través de redes comprometidas. ”, escribieron funcionarios de Microsoft.

GooseEgg generalmente se instala mediante un script por lotes simple, que se ejecuta luego de la explotación exitosa de CVE-2022-38028 u otra vulnerabilidad, como CVE-2023-23397, que según el aviso del lunes también ha sido explotada por Forest Blizzard. El script es responsable de instalar el binario GooseEgg, a menudo llamado Justice.exe o DefragmentSrv.exe, y luego garantiza que se ejecuten cada vez que se reinicia la máquina infectada.

Lo que necesitas saber

• Microsoft está trabajando en una nueva forma de instalar aplicaciones a través de apps.microsoft.com.
• La nueva experiencia reduce la cantidad de clics necesarios para instalar una aplicación.
• El cambio también crea un instalador independiente para cada aplicación que instale a través de apps.microsoft.com.
• Algunos desarrolladores se han quejado del cambio en línea, aunque se expresó cierta frustración antes de que el cambio estuviera completamente documentado.

---

Los instaladores de Microsoft Store para web están aquí para optimizar la experiencia de instalación de aplicaciones en línea. La nueva configuración le permite instalar aplicaciones desde apps.microsoft.com con menos clics que antes. Rudy Huyn, arquitecto principal de Microsoft Store, explicó lo que Microsoft cambió para mejorar la forma en que se instalan las aplicaciones.

«Creamos una versión desacoplada de la Tienda usando la misma lógica y código que la aplicación más grande, administrando requisitos previos, derechos, descargas e instalaciones de la misma manera. Sin embargo, esta vez, estaba empaquetada en un ejecutable mucho más pequeño y desacoplado. » dijo Huin.

Se informa que Activision está investigando una campaña de piratería que roba credenciales de inicio de sesión de personas que juegan sus juegos. De acuerdo a TechCrunch, los malos actores han instalado con éxito malware en las computadoras de las víctimas y han utilizado su acceso para robar inicios de sesión de sus cuentas de juego e incluso sus billeteras criptográficas. Citando una fuente anónima, la publicación informó que el editor del videojuego ha estado ayudando a las víctimas a eliminar el malware y recuperar el control de sus cuentas, pero que aún no hay suficiente información para decir cómo se está propagando el malware.

Sin embargo, un portavoz de Activision negó que la compañía esté ayudando a eliminar el malware y afirmó que el problema está en proveedores de software de terceros y no en el software o las plataformas de Activision. TechCrunch La fuente dijo que el malware «podría estar afectando sólo a personas que tienen instaladas herramientas de terceros», insinuando que las personas lo obtienen de software no desarrollado por Activision que normalmente se usa con sus juegos.

Delaney Simmons, portavoz de Activision, dijo a la publicación que la compañía está al tanto de «afirmaciones de que algunas credenciales de jugadores en toda la industria podrían verse comprometidas por malware proveniente de la descarga o el uso de software no autorizado». Añadió que los servidores de la empresa «permanecen seguros y sin riesgos».

Un origen de terceros es sin duda una teoría plausible, ya que el plan de piratería parece haber sido descubierto por alguien conocido como Zeebler, que desarrolla software de trampa para Obligaciones. Zeebler dijo TechCrunch que descubrió la campaña cuando a uno de sus clientes le robaron la cuenta de su software. Al investigarlo, supuestamente descubrió una base de datos que contenía credenciales robadas. También dijo que el malware está disfrazado para parecer software real, pero en realidad fue diseñado para robar los nombres de usuario y contraseñas que ingresan las víctimas. Presumiblemente, Zeebler está hablando de herramientas de terceros, como software de trampa, que se clonan para recolectar los inicios de sesión de las personas, pero el phishing También existen esquemas que utilizan el diseño de inicio de sesión oficial de Activision. La conclusión es que las personas deben tener cuidado con lo que descargan y siempre verificar si la página de inicio de sesión en la que están escribiendo es la verdadera.

Actualización, 30 de marzo de 2024, 5:20 p. m. ET: esta historia se actualizó para incluir nueva información de Activision.

El lunes, el La administración Biden anunció que seis nuevos países se habían unido a una coalición internacional para luchar contra la proliferación de software espía comercial, vendido por empresas como NSO Group o Intellexa.

Ahora, algunos inversores han anunciado que ellos también están comprometidos a luchar contra el software espía. Pero al menos uno de esos inversores, Paladin Capital Group, ha invertido anteriormente en una empresa que desarrolló malware, según una presentación de diapositivas filtrada con fecha de 2021 obtenida por TechCrunch, aunque la empresa le dice a TechCrunch que «salió» de la empresa en algún momento. atrás.

En los últimos años, el gobierno de EE. UU. ha liderado un esfuerzo para limitar o al menos restringir el uso de software espía en todo el mundo poniendo a fabricantes de tecnología de vigilancia como NSO Group, Candiru e Intellexa en listas de bloqueo, además de imponer controles de exportación a aquellos. empresas y restricciones de visa para personas involucradas en la industria. Más recientemente, el gobierno ha impuesto sanciones económicas no sólo a las empresas, sino también directamente al ejecutivo que fundó Intellexa. Estas acciones han puesto en alerta a otros miembros de la industria del software espía.

En una llamada con periodistas el lunes a la que asistió TechCrunch, un alto funcionario de la administración Biden dijo que un representante de Paladin participó en reuniones en la Casa Blanca el 7 de marzo, así como esta semana en Seúl, donde los gobiernos se reunieron para la Cumbre por la Democracia para hablar sobre software espía.

Paladin, uno de los mayores inversores en nuevas empresas de ciberseguridad, y varias otras empresas de riesgo publicaron un conjunto de principios de inversión voluntaria, señalando que invertirían en empresas que “mejoren los intereses de defensa, seguridad nacional y política exterior de sociedades libres y abiertas”. «

«Para nosotros, fue un primer paso importante lograr que un inversor reconociera que las inversiones no deberían destinarse a empresas que se dedican a vender productos y a clientes que pueden socavar sociedades libres y justas», dijo el alto funcionario de la administración en la llamada, donde los periodistas acordaron no citar a los funcionarios por su nombre.

Al escuchar hablar a algunos de estos inversores, uno pensaría que el software espía no tiene cabida en una sociedad libre y abierta.

En una entrevista con TechCrunch, Michael Steed, fundador y socio gerente de Paladin, explicó el proceso de pensamiento de la empresa al considerar invertir en una empresa de ciberseguridad. «¿Podría utilizarse esta tecnología en el área del software espía comercial?» preguntó retóricamente. «Estamos analizando esas tecnologías de una manera que buscamos proteger los intereses económicos, de seguridad nacional y de política exterior en una sociedad libre y abierta».

Sin embargo, en el pasado, Paladin invirtió en Boldend, una startup de ciberseguridad ofensiva poco conocida fundada en 2017 y con sede en California.

Entre varios otros productos, Boldend afirma haber desarrollado una «plataforma de malware todo en uno» llamada Origen, que «permite la creación sencilla de cualquier pieza de malware para cualquier plataforma», según las diapositivas filtradas.

Boldend anunció a Origen como «capaz de automatizar cualquier ataque imaginable» contra dispositivos Windows, Linux, Mac y Android, describiendo a Origen informalmente como una «herramienta de administración de dispositivos». En otra diapositiva, Boldend dijo que un objetivo futuro de Origen era realizar «compromiso, lateralización y eliminación forense automática».

En otras palabras, esta es la plataforma de Boldend para piratear y extraer datos del dispositivo de alguien.

Steed dijo que Paladin ya no invierte en Boldend, aunque se negó a explicar por qué. Steed no respondió a las preguntas de seguimiento que intentaban aclarar cómo terminó la relación de Paladin con Boldend.

“No hizo lo que queríamos que hiciera. Así que salimos de allí”, dijo Steed a TechCrunch.

Boldend no respondió a una solicitud de comentarios. El sitio web de la startup es básico y dice poco sobre lo que hace la empresa. Cuando TechCrunch lo contactó en octubre de 2023, Mike Barry, miembro de la junta directiva de Boldend, que ahora figura en LinkedIn como director ejecutivo de la compañía, dijo que la startup estaba «muy viva y coleando».

En las diapositivas filtradas, Boldend afirma haber vendido sus “municiones cibernéticas y experiencia” a Raytheon, Novetta, FEDDATA, el Departamento de Defensa, el Comando Cibernético de EE. UU. y, más ampliamente, a la comunidad de inteligencia. Boldend también dijo que obtuvo financiación de Founders Fund, la enorme firma de capital de riesgo dirigida por Peter Thiel, y Gula Tech Adventures.

Las diapositivas filtradas describen varios productos diferentes. Además de Origen, está Kevlar, una plataforma automatizada para analizar implantes; Hedgemaze, una plataforma de enrutamiento de tráfico ofuscada para gestionar infraestructura; y Cricket, una plataforma de hardware portátil para lanzar ataques basados ​​en Wi-Fi.

Boldend afirma en las diapositivas que esperaba desarrollar software para “operaciones cibernéticas completas llave en mano”, como capacidades cibernéticas ofensivas, guerra electrónica e inteligencia de señales; servicios de hacking sancionados por el gobierno de Estados Unidos; y una plataforma de inteligencia artificial “para identificar, explotar y construir infraestructura dinámicamente, así como crear personajes en línea para realizar una variedad de tareas de inteligencia manteniendo la integridad forense”, incluida la creación y difusión de “noticias falsas en las redes sociales”.

En una de las diapositivas, Boldend afirma que desarrolló herramientas para obtener «acceso remoto a todos los WhatsApp en todos los Android». Y que pasó un año desarrollando esa capacidad, pero «quedó quemada por una actualización». El New York Times informó por primera vez sobre la creación del exploit de WhatsApp por parte de Boldend.

Gula Tech, que también invirtió en Boldend, también firmó los principios y compromisos publicados por Paladin. Ron Gula, presidente y cofundador de Gula Tech, declinó hacer comentarios para este artículo.

La inversión de Gula Tech y Paladin en Boldend (un fabricante de software de piratería y exploits con sede en Estados Unidos) y el compromiso de las dos empresas de inversión de no invertir en empresas de software espía pueden parecer contradictorios. Pero la promesa de los inversores deja la puerta abierta a invertir en determinadas empresas, si sirven a los intereses de Estados Unidos y a las «sociedades libres y abiertas».

¿Exactamente hasta dónde se extienden esos principios en relación con otros países que son aliados cercanos de Estados Unidos pero con antecedentes de posibles violaciones de derechos humanos? ¿Significa eso, por ejemplo, que Paladin no invertiría en empresas con sede en Arabia Saudita o en empresas israelíes? Steed no se comprometió a dar una respuesta directa.

“Si hablas con Israel o con Arabia Saudita, te dirán que son sociedades libres y abiertas y que son aliados de Estados Unidos. Todavía somos muy cuidadosos. No importa si es Israel, Arabia Saudita, Francia o Alemania, todavía somos muy cuidadosos con lo que invertimos”, dijo Steed. «Para asegurarnos de que no estamos violando el concepto de sociedad libre y abierta».

Lo que significa una sociedad libre y abierta, y dónde reside esa línea roja, parece ser algo que sólo los inversores saben.

Fujitsu, el gigante de TI con sede en Japón, dijo que descubrió malware en su red corporativa que puede haber permitido a los responsables robar información personal de clientes u otras partes.

«Confirmamos la presencia de malware en varias de las computadoras de trabajo de nuestra empresa y, como resultado de una investigación interna, se descubrió que los archivos que contienen información personal e información de clientes podrían eliminarse ilegalmente», escribieron funcionarios de la empresa en una notificación del 15 de marzo. Esto pasó prácticamente desapercibido hasta el lunes. La compañía dijo que continuaba «investigando las circunstancias que rodearon la intrusión del malware y si se filtró información». No hubo indicación de cuántos registros quedaron expuestos o cuántas personas podrían verse afectadas.

Fujitsu emplea a 124.000 personas en todo el mundo y reportó alrededor de 25.000 millones de dólares de ingresos en su año fiscal 2023, que finalizó a finales de marzo pasado. La empresa opera en 100 países. Entre sus clientes anteriores se encuentra el gobierno japonés. Los ingresos de Fujitsu provienen de las ventas de hardware como computadoras, servidores y equipos de telecomunicaciones, sistemas de almacenamiento, software y servicios de TI.

En 2021, Fujitsu desconectó ProjectWEB, la plataforma de software como servicio empresarial de la compañía, tras el descubrimiento de un hack que violó varias agencias gubernamentales japonesas, incluido el Ministerio de Tierra, Infraestructura, Transporte y Turismo; el Ministerio de Relaciones Exteriores; y la Secretaría de Gabinete. El aeropuerto japonés de Narita también se vio afectado.

En julio pasado, el Ministerio de Asuntos Internos y Comunicaciones de Japón supuestamente reprendió a Fujitsu por una falla de seguridad que condujo a una violación separada de Fenics, otro de los servicios en la nube de la compañía, que es utilizado tanto por agencias gubernamentales como por corporaciones. A principios de este año, la compañía se disculpó por desempeñar un papel destacado en la condena injusta de más de 900 subdirectores y directoras de correos que fueron acusados ​​de robo o fraude cuando el software hizo parecer erróneamente que faltaba dinero en sus sucursales. Un ejecutivo de la compañía dijo que algunos de los errores de software responsables de los errores se conocían desde 1999.

Los representantes de Fujitsu no respondieron a las solicitudes de comentarios sobre la divulgación de la violación de la semana pasada. La compañía dijo que informó del incidente a la autoridad de protección de datos de Japón. «Pedimos disculpas profundamente por la gran preocupación y los inconvenientes que esto ha causado a todos los involucrados», decía el comunicado de la semana pasada. Hasta el momento, la empresa no ha encontrado pruebas de que se haya hecho un mal uso de los datos de los clientes afectados.

Los investigadores han descubierto malware para Linux que circuló libremente durante al menos dos años antes de ser identificado como un ladrón de credenciales que se instala mediante la explotación de vulnerabilidades parcheadas recientemente.

El malware recientemente identificado es una variante de Linux de NerbianRAT, un troyano de acceso remoto descrito por primera vez en 2022 por investigadores de la empresa de seguridad Proofpoint. El viernes pasado, Checkpoint Research reveló que la versión de Linux existe desde al menos el mismo año, cuando se subió al sitio de identificación de malware VirusTotal. Checkpoint llegó a la conclusión de que Magnet Goblin (el nombre que utiliza la empresa de seguridad para rastrear al actor de amenazas con motivos financieros que utiliza el malware) lo ha instalado explotando «1-days», que son vulnerabilidades parcheadas recientemente. Los atacantes en este escenario realizan ingeniería inversa de actualizaciones de seguridad o copian exploits de prueba de concepto asociados para usarlos contra dispositivos que aún no han instalado los parches.

Checkpoint también identificó MiniNerbian, una versión más pequeña de NerbianRAT para Linux que se utiliza para servidores de puerta trasera que ejecutan el servidor de comercio electrónico Magento, principalmente para su uso como servidores de comando y control a los que se conectan los dispositivos infectados por NerbianRAT. Investigadores de otros lugares han informado haber encontrado servidores que parecen haber sido comprometidos con MiniNerbian, pero Checkpoint Research parece haber sido el primero en identificar el binario subyacente.

«Magnet Goblin, cuyas campañas parecen tener motivaciones financieras, se apresuró a adoptar vulnerabilidades de 1 día para entregar su malware personalizado para Linux, NerbianRAT y MiniNerbian», escribieron los investigadores de Checkpoint. “Esas herramientas han operado desapercibidas, ya que residen principalmente en dispositivos de borde. Esto es parte de una tendencia actual de los actores de amenazas a atacar áreas que hasta ahora han quedado desprotegidas”.

Checkpoint descubrió el malware para Linux mientras investigaba ataques recientes que explotan vulnerabilidades críticas en Ivanti Secure Connect, que han estado bajo explotación masiva desde principios de enero. En el pasado, Magnet Goblin instaló el malware explotando vulnerabilidades de un día en Magento, Qlink Sense y posiblemente Apache ActiveMQ.

Durante su investigación sobre la explotación de Ivanti, Checkpoint encontró la versión Linux de NerbianRAT en servidores comprometidos que estaban bajo el control de Magnet Goblin. URL incluidas:

http://94.156.71[.]115/largo
http://91.92.240[.]113/aparca2
http://45.9.149[.]215/aparca2

Las variantes de Linux se conectan nuevamente a la IP 172.86.66 controlada por el atacante[.]165.

Además de implementar NerbianRAT, Magnet Goblin también instaló una variante personalizada de malware rastreado como WarpWire, un malware ladrón reportado recientemente por la firma de seguridad Mandiant. La variante que encontró Checkpoint robó las credenciales de VPN y las envió a un servidor en el dominio miltonhouse.[.]nl.

NerbianRAT Windows presentaba un código robusto que se esforzaba por ocultarse y evitar la ingeniería inversa por parte de rivales o investigadores.

«A diferencia de su equivalente de Windows, la versión de Linux apenas tiene medidas de protección», dijo Checkpoint. «Está mal compilado con información de depuración DWARF, lo que permite a los investigadores ver, entre otras cosas, nombres de funciones y nombres de variables globales».

No hay muchas historias en el mundo de la tecnología que fácilmente podrían convertirse en la trama de una tensa película de suspenso y espías, pero esta seguramente tiene todas las características adecuadas para una. El mes pasado, el Departamento de Justicia de Estados Unidos llevó a cabo una operación autorizada en la que neutralizó una botnet, compuesta por cientos de enrutadores en hogares y oficinas, que se utilizaba para llevar a cabo phishing y otros robos de credenciales. Y esto se logró utilizando el mismo malware que la propia botnet.

Según lo informado por Ars Technica, la red fue creada por la Unidad Militar GRU 26165 (también conocida con los nombres Forest Blizzard, Fancy Bear, Sednit y otros), un grupo de piratería patrocinado por el estado que, según informó, tiene vínculos directos con Main. Dirección de Inteligencia del Estado Mayor de las Fuerzas Armadas de la Federación Rusa (GRU, para abreviar).