Más tarde añadió, de forma un tanto confusa, que “el grupo de hackers Sandworm tiene algo en común [with us] … Este es el comandante en jefe de nuestro Ejército Cibernético”. Sin embargo, no estaba claro si ese comentario se refería a un líder compartido que supervisaba a los dos grupos, o incluso a una especie de líder ideológico imaginario como el presidente ruso Vladimir Putin, o si Julia quiso decir que el propio Sandworm da sus órdenes al Ejército Cibernético. , en contradicción con sus declaraciones anteriores. Julia no respondió a las solicitudes de WIRED de aclaración sobre esa pregunta ni, de hecho, a ninguna pregunta posterior a ese comentario.

Una máquina exagerada hacktivista

Los expertos rusos en guerra de información y operaciones de influencia con quienes WIRED compartió el texto completo de la entrevista señalaron que, a pesar de las afirmaciones del Cyber ​​Army of Russia de actuar como una organización de base independiente, se adhiere estrechamente tanto a los puntos de conversación del gobierno ruso como a la información publicada por el ejército ruso. Doctrina de guerra. La retórica del grupo sobre cambiar “mentes y corazones” más allá de las líneas del frente de un conflicto mediante ataques contra infraestructura civil refleja un conocido artículo sobre “confrontación informativa” del general militar ruso Valery Gerasimov, por ejemplo. Otras partes de los comentarios de Julia –una polémica espontánea contra las “relaciones sexuales no tradicionales” y una descripción de Rusia como una cultural conservadora “Arca de Noé del siglo XXI”– hacen eco de declaraciones similares hechas por líderes rusos y medios estatales rusos.

Nada de eso prueba que el Ejército Cibernético de Rusia tenga algo más que los estrechos vínculos con el GRU que Mandiant descubrió, dice Gavin Wilde, investigador principal del Carnegie Endowment for International Peace centrado en Rusia. En cambio, sostiene que los comentarios del grupo parecen ser un intento de sumar puntos con un potencial patrocinador gubernamental, tal vez con la esperanza de obtener una relación más oficial. «Realmente están tratando de perfeccionar sus mensajes, pero no necesariamente para una audiencia occidental, sino más bien para intentar poner puntos en el tablero a nivel nacional y con potenciales benefactores políticos o financieros en Moscú», dice.

De hecho, en un momento de la entrevista con WIRED, Julia expresó explícitamente esa solicitud de más apoyo oficial del gobierno. “Realmente espero que el Ciberejército Popular de Rusia tenga grandes perspectivas, que nuestras agencias gubernamentales no solo nos presten atención, sino que apoyen nuestras acciones, tanto financieramente como mediante la formación de tropas cibernéticas de pleno derecho como parte del ejército ruso. Fuerzas Armadas”, escribió.

Fuera de la conversación con WIRED, Cyber ​​Army of Russia publica en su canal Telegram en ruso, no en inglés, una medida extraña para un grupo que afirma estar tratando de influir en la política occidental a su favor. Otras operaciones de influencia rusa creadas por el propio GRU, como los frentes Guccifer 2.0 y DCLeaks creados para influir en las elecciones presidenciales de 2016, escribieron en inglés. Incluso otros grupos “hacktivistas” que atacan infraestructuras civiles críticas, como Predatory Sparrow, vinculado a Israel, se atribuyen el mérito de sus ataques en el idioma de sus objetivos; en el caso de Predatory Sparrow, publicando mensajes en Telegram en persa en un aparente intento de influir en los iraníes.

A principios de este año, compartimos la historia de cómo una NES clásica Tetris El jugador llegó a la «pantalla de finalización» del juego por primera vez, activando un bloqueo después de una increíble actuación de 40 minutos y 1.511 líneas. Ahora, algunos jugadores están usando esa pantalla de muerte (y algunas manipulaciones de memoria complicadas que permite) para codificar nuevos comportamientos en versiones de Tetris ejecutándose en hardware y cartuchos no modificados. Hemos cubierto fallos similares de «ejecución de código arbitrario» en juegos como El mundo de Super Mario, papel marioy La leyenda de Zelda: Ocarina del tiempo en el pasado. Y el método básico para introducir código externo en NES. Tetris se ha teorizado públicamente desde al menos 2021, cuando los jugadores investigaban el código descompilado del juego (HydrantDude, que ha profundizado en Tetris falla en el pasado, también dice que la comunidad ha tenido durante mucho tiempo un método conocido de forma privada para tomar el control total de Tetris‘ RAM).

Pero un video reciente de Displaced Gamers lleva la idea de la teoría privada a la ejecución pública, y detalla minuciosamente cómo obtener NES. Tetris para comenzar a leer las tablas de puntuación más alta del juego como instrucciones de código de máquina.

Diversión con los puertos del controlador

Adquirir una copia de NES Tetris Esto es posible principalmente debido a la forma específica en que falla el juego. Sin entrar en demasiados detalles, un fallo en NES Tetris Esto ocurre cuando el controlador de puntuación del juego tarda demasiado en calcular una nueva puntuación entre fotogramas, lo que puede ocurrir después del nivel 155. Cuando se produce este retraso, una parte del código de control es interrumpida por la nueva rutina de escritura de fotogramas, lo que hace que salte a una porción no deseada de la RAM del juego para buscar la siguiente instrucción.

Por lo general, esta interrupción inesperada hace que el código salte para dirigirse al principio de la RAM, donde los datos basura se leen como código y, a menudo, provocan una falla rápida. Pero los jugadores pueden manipular este salto gracias a un capricho poco conocido sobre cómo Tetris maneja entradas potenciales cuando se ejecuta en la versión japonesa de la consola, Famicom.

A diferencia del Nintendo Entertainment System estadounidense, el Famicom japonés presentaba dos controladores conectados a la unidad. Los jugadores que quisieran utilizar controladores de terceros podrían conectarlos a través de un puerto de expansión en la parte frontal del sistema. El Tetris El código del juego lee las entradas de este puerto de controlador «extra», que puede incluir dos controladores NES estándar adicionales mediante el uso de un adaptador (esto es cierto a pesar de que Famicom obtuvo una versión completamente diferente de Tetris del software a prueba de balas).

Da la casualidad de que el área de RAM que Tetris utiliza para procesar esta entrada adicional del controlador también se utiliza para la ubicación de memoria de esa rutina de salto que discutimos anteriormente. Por lo tanto, cuando esa rutina de salto se ve interrumpida por un bloqueo, esa RAM contendrá datos que representan los botones que se presionan en esos controladores. Esto brinda a los jugadores una forma potencial de controlar con precisión dónde va el código del juego después de que se activa el bloqueo.

Codificación en la tabla de puntuación más alta

Para el método de control de salto de Displaced Gamers, el jugador debe mantener presionado «arriba» en el tercer controlador y derecha, izquierda y abajo en el cuarto controlador (esa última combinación requiere algo de manipulación del controlador para permitir la entrada direccional izquierda y derecha simultánea ). Al hacerlo, se envía el código de salto a un área de RAM que contiene los nombres y puntuaciones para la lista de puntuaciones más altas del juego, lo que proporciona una superficie de RAM aún mayor que el jugador puede manipular directamente.

Al poner «(G» en la parte específica de la tabla de puntuación más alta del tipo B, podemos forzar que el juego salte a otro área de la tabla de puntuación más alta, donde comenzará a leer los nombres y puntuaciones secuencialmente como lo que Displaced Gamers llama código «bare metal», donde las letras y los números representan códigos de operación para la CPU de NES.

Desafortunadamente, sólo hay 43 símbolos posibles que se pueden utilizar en el área de entrada de nombres y 10 dígitos diferentes que pueden formar parte de una puntuación alta. Eso significa que sólo una pequeña parte de las instrucciones de código de operación disponibles de NES pueden «codificarse» en la tabla de puntuación más alta utilizando la superficie de ataque disponible.

A pesar de estas restricciones, Displaced Gamers pudo codificar un breve fragmento de código de prueba de concepto que se puede traducir en datos de tabla de puntuación alta. (A name of '))"-P)', y un puntaje de segundo lugar de 8,575 en el juego A-Type es un factor destacado, en caso de que se lo pregunte). Esta sencilla rutina coloca dos ceros en los dígitos superiores de la puntuación del juego, lo que reduce el tiempo de procesamiento de la puntuación que, de otro modo, causaría un bloqueo (aunque la puntuación eventualmente volverá a alcanzar la «zona de peligro» para un bloqueo, si continúa el juego).

Por supuesto, la falta de un sistema de ahorro respaldado por batería significa que los piratas informáticos deben alcanzar estas puntuaciones altas manualmente (e ingresar estos nombres complicados) cada vez que encienden el dispositivo. Tetris en una NES estándar. El espacio limitado en la tabla de puntuaciones altas tampoco deja mucho espacio para la codificación directa de programas complejos además de Tetris‘código real. Pero hay formas de sortear esta limitación; HydrantDude escribe sobre un conjunto específico de nombres y números de alta puntuación que «construyen[s] otro programa previo que crea otro programa previo que otorga control total sobre toda la RAM».

Con ese tipo de control total, un jugador de alto nivel teóricamente podría recodificar NES. Tetris para corregir los errores de bloqueo por completo. Esto podría ser extremadamente útil para los jugadores que están luchando por pasar el nivel 255, donde el juego regresa a la tranquilidad del Nivel 0. Mientras tanto, supongo que siempre puedes seguir el ejemplo de El mundo de Super Mario corredores de velocidad y transformar Tetris en pájaro flappy.

Los piratas informáticos están atacando sitios web que utilizan un destacado complemento de WordPress con millones de intentos para explotar una vulnerabilidad de alta gravedad que permite una toma completa del control, dijeron los investigadores.

La vulnerabilidad reside en WordPress Automatic, un complemento con más de 38.000 clientes de pago. Los sitios web que ejecutan el sistema de gestión de contenidos WordPress lo utilizan para incorporar contenido de otros sitios. Investigadores de la firma de seguridad Patchstack revelaron el mes pasado que las versiones 3.92.0 e inferiores de WP Automatic tenían una vulnerabilidad con una clasificación de gravedad de 9,9 sobre 10 posible. El desarrollador del complemento, ValvePress, publicó silenciosamente un parche, que está disponible en las versiones 3.92. 1 y más allá.

Los investigadores han clasificado la falla, rastreada como CVE-2024-27956, como una inyección SQL, una clase de vulnerabilidad que surge de una falla de una aplicación web al consultar correctamente las bases de datos backend. La sintaxis SQL utiliza apóstrofes para indicar el principio y el final de una cadena de datos. Al ingresar cadenas con apóstrofos especialmente ubicados en campos vulnerables del sitio web, los atacantes pueden ejecutar código que realiza diversas acciones confidenciales, incluida la devolución de datos confidenciales, otorgar privilegios administrativos al sistema o alterar el funcionamiento de la aplicación web.

«Esta vulnerabilidad es muy peligrosa y se espera que sea explotada masivamente», escribieron los investigadores de Patchstack el 13 de marzo.

La firma de seguridad web WPScan dijo el jueves que ha registrado más de 5,5 millones de intentos de explotar la vulnerabilidad desde la divulgación del 13 de marzo por parte de Patchstack. Los intentos, dijo WPScan, comenzaron lentamente y alcanzaron su punto máximo el 31 de marzo. La empresa no dijo cuántos de esos intentos tuvieron éxito.

WPScan dijo que CVE-2024-27596 permite a los visitantes del sitio web no autenticados crear cuentas de usuario de nivel de administrador, cargar archivos maliciosos y tomar el control total de los sitios afectados. La vulnerabilidad, que reside en cómo el complemento maneja la autenticación del usuario, permite a los atacantes eludir el proceso de autenticación normal e inyectar código SQL que les otorga privilegios elevados del sistema. Desde allí, pueden cargar y ejecutar cargas útiles maliciosas que cambian el nombre de archivos confidenciales para evitar que el propietario del sitio o otros piratas informáticos controlen el sitio secuestrado.

Los ataques exitosos suelen seguir este proceso:

• Inyección SQL (SQLi): Los atacantes aprovechan la vulnerabilidad SQLi en el complemento WP‑Automatic para ejecutar consultas no autorizadas a bases de datos.
• Creación de usuario administrador: Con la capacidad de ejecutar consultas SQL arbitrarias, los atacantes pueden crear nuevas cuentas de usuario de nivel de administrador dentro de WordPress.
• Carga de malware: Una vez que se crea una cuenta de nivel de administrador, los atacantes pueden cargar archivos maliciosos, generalmente shells web o puertas traseras, al servidor del sitio web comprometido.
• Cambio de nombre de archivos: El atacante puede cambiar el nombre del archivo WP-Automatic vulnerable para asegurarse de que solo él pueda explotarlo.

Los investigadores de WPScan explicaron:

Una vez que un sitio de WordPress se ve comprometido, los atacantes garantizan la longevidad de su acceso creando puertas traseras y ofuscando el código. Para evadir la detección y mantener el acceso, los atacantes también pueden cambiar el nombre del archivo vulnerable WP-Automatic, lo que dificulta que los propietarios de sitios web o las herramientas de seguridad identifiquen o bloqueen el problema. Vale la pena mencionar que también puede ser una forma que los atacantes encuentren para evitar que otros actores malintencionados exploten con éxito sus sitios ya comprometidos. Además, dado que el atacante puede usar los altos privilegios adquiridos para instalar complementos y temas en el sitio, notamos que, en la mayoría de los sitios comprometidos, los delincuentes instalaron complementos que les permitieron cargar archivos o editar código.

Los ataques comenzaron poco después del 13 de marzo, 15 días después de que ValvePress lanzara la versión 3.92.1 sin mencionar el parche crítico en las notas de la versión. Los representantes de ValvePress no respondieron de inmediato a un mensaje en busca de una explicación.

Mientras que los investigadores de Patchstack y WPScan clasifican CVE-2024-27956 como inyección SQL, un desarrollador experimentado dijo que su interpretación de la vulnerabilidad es que se trata de una autorización inadecuada (CWE-285) o una subcategoría de control de acceso inadecuado (CWE-284).

“Según Patchstack.com, el programa es supuesto recibir y ejecutar una consulta SQL, pero sólo de un usuario autorizado”, escribió en una entrevista online el desarrollador, que no quiso utilizar su nombre. “La vulnerabilidad está en cómo verifica las credenciales del usuario antes de ejecutar la consulta, lo que permite a un atacante eludir la autorización. La inyección SQL ocurre cuando el atacante incrusta código SQL en lo que se suponía que eran solo datos, y ese no es el caso aquí”.

Cualquiera que sea la clasificación, la vulnerabilidad es tan grave como parece. Los usuarios deben parchear el complemento inmediatamente. También deben analizar cuidadosamente sus servidores en busca de signos de explotación utilizando los indicadores de datos de compromiso proporcionados en la publicación de WPScan vinculada anteriormente.

Actualizado: 29 de abril de 2024

¡Comprobado los últimos códigos!

Si quieres experimentar una verdadera Una pieza-aventura basada, último pirata ¡Podría ser tu próximo juego favorito! Compra un barco y comienza a explorar docenas de islas llenas de misiones. Este título pondrá a prueba tus habilidades al máximo, así que sube de nivel rápidamente con lo último último pirata códigos.

Lista de todos los últimos códigos piratas

Últimos códigos piratas (en funcionamiento)

• SUKUNA: Uso para 15 LP (Nuevo) (Requerido: nivel 300+)
• PudínBumby: Úselo para 5 LP (Requerido: nivel 300+)
• Truco o trato: Usar para 50 dulces
• ACTUALIZARPARTE2: Úselo para 5 LP (Requerido: nivel 300+)
• VÍSPERA DE TODOS LOS SANTOS: Úselo para 100 dulces
• REINICIAR: Úselo para restablecer estadísticas
• lamokukung03: Uso para 25k Beli
• CUANDO ACTUALIZAR: Úselo para restablecer estadísticas
• ¡¡ACTUALIZAR!!: Úselo para restablecer estadísticas
• Lo siento por el apagado: Úselo para restablecer estadísticas
• Lo siento por el retraso en la actualización: Úselo para restablecer estadísticas
• DULCE: Úselo para 200 dulces
• ¡EVENTO!: Usar para 20k Beli
• N5Animación: Úselo para restablecer estadísticas
• TORIREVAMP: Úselo para restablecer estadísticas

Últimos códigos piratas (caducados)

• ACTUALIZAR3
• MIUMA
• CUATRO MAR
• LPLOVER
• 10MVisitas
• Gran actualización
• Codicia
• OPZTV
• Odisea
• AvenaCasterCh
• Código
• Sueño
• desolado
• carinacaxtez
• muñeco de nieve
• Ruriair
• NEOGAMING
• bisento
• pixeljoe
• BLANCO
• Yoru
• N4Animación
• caza del gato
• sombrío_gordo
• ¡Actualizar!
• Sable
• iSEN
• Arreglar error
• KINGNONKD
• 100KFAV
• 3MVisitas
• 111KFAV
• Vezxter
• 5Chiba
• ACTUALIZACIÓN2
• bisentov2
• Mate
• JUEGOS JZ
• Gema gratis
• 10KVisita
• Evento
• SmolEsan
• KongPoop
• MAOKUMA
• juan
• Chxmei
• 25KVisita
• ImportanteApagar
• NEOGAMING
• DIW_TW
• Rápido
• rosaki
• XIEXIE
• TECHO
• Alto x ancho
• Katana
• ¡¡ACTUALIZAR!!
• Extraño
• Nuevo mundo

Relacionado: Códigos de piezas demoníacas

Cómo canjear códigos en Last Pirate

Redentor último pirata Los códigos son bastante sencillos. Siga nuestras instrucciones a continuación para obtener obsequios de inmediato:

1. Lanzamiento último pirata en Roblox.
2. Haga clic en el Pestaña CÓDIGO en la esquina inferior izquierda de la pantalla.
3. Inserta un código de nuestra lista en el cuadro de texto emergente.
4. Golpea el Canjear ¡Botón para reclamar tus recompensas!

Si quieres jugar a otros juegos populares de Roblox con regalos, asegúrate de visitar nuestras listas de códigos de Eternal Piece y Códigos de pieza heredados ¡Aquí en The Escapist!

---

Los piratas informáticos respaldados por un poderoso Estado-nación han estado explotando dos vulnerabilidades de día cero en los firewalls de Cisco en una campaña de cinco meses de duración que irrumpe en las redes gubernamentales de todo el mundo, informaron investigadores el miércoles.

Los ataques contra los firewalls de dispositivos de seguridad adaptativos de Cisco son los últimos de una serie de ataques a la red dirigidos a firewalls, VPN y dispositivos perimetrales de red, que están diseñados para proporcionar una especie de puerta con foso que mantiene alejados a los piratas informáticos remotos. En los últimos 18 meses, los actores de amenazas, principalmente respaldados por el gobierno chino, han invertido este paradigma de seguridad en ataques que explotan vulnerabilidades previamente desconocidas en dispositivos de seguridad como Ivanti, Atlassian, Citrix y Progress. Estos dispositivos son objetivos ideales porque se ubican en el borde de una red, proporcionan una tubería directa a sus recursos más sensibles e interactúan con prácticamente todas las comunicaciones entrantes.

Cisco ASA probablemente sea uno de varios objetivos

El miércoles fue el turno de Cisco de advertir que sus productos ASA han recibido ese trato. Desde noviembre, un actor previamente desconocido rastreado como UAT4356 por Cisco y STORM-1849 por Microsoft ha estado explotando dos días cero en ataques que instalan dos piezas de malware nunca antes vistas, dijeron investigadores del equipo de seguridad Talos de Cisco. Los rasgos notables en los ataques incluyen:

• Una cadena de exploits avanzada que apuntaba a múltiples vulnerabilidades, al menos dos de las cuales eran de día cero.
• Dos puertas traseras maduras y con todas las funciones que nunca antes se habían visto, una de las cuales residía únicamente en la memoria para evitar la detección.
• Atención meticulosa a ocultar huellas limpiando cualquier artefacto que las puertas traseras puedan dejar. En muchos casos, la limpieza se personalizó en función de las características de un objetivo específico.

Esas características, combinadas con un pequeño grupo de objetivos seleccionados, todos ellos en el gobierno, han llevado a Talos a evaluar que los ataques son obra de piratas informáticos respaldados por el gobierno y motivados por objetivos de espionaje.

«Nuestra evaluación de atribución se basa en la victimología, el importante nivel de habilidad empleada en términos de desarrollo de capacidades y medidas antiforenses, y la identificación y posterior encadenamiento de vulnerabilidades de día 0», escribieron los investigadores de Talos. «Por estas razones, evaluamos con alta confianza que estas acciones fueron realizadas por un actor patrocinado por el Estado».

Los investigadores también advirtieron que la campaña de piratería probablemente esté dirigida a otros dispositivos además del ASA. En particular, los investigadores dijeron que todavía no saben cómo UAT4356 obtuvo acceso inicial, lo que significa que las vulnerabilidades de ASA podrían explotarse sólo después de que una o más vulnerabilidades actualmente desconocidas, probablemente en productos de red de Microsoft y otros, fueran explotadas.

«Independientemente de su proveedor de equipos de red, ahora es el momento de asegurarse de que los dispositivos estén parcheados correctamente, inicien sesión en una ubicación central segura y estén configurados para tener una autenticación multifactor (MFA) sólida», escribieron los investigadores. Cisco ha publicado actualizaciones de seguridad que corrigen las vulnerabilidades e insta a todos los usuarios de ASA a instalarlas lo antes posible.

UAT4356 comenzó a trabajar en la campaña a más tardar en julio pasado cuando estaba desarrollando y probando los exploits. En noviembre, el grupo de amenazas instaló por primera vez la infraestructura de servidor dedicado para los ataques, que comenzaron en serio en enero. La siguiente imagen detalla la línea de tiempo:

Una de las vulnerabilidades, identificada como CVE-2024-20359, reside en una capacidad ahora retirada que permite la precarga de clientes VPN y complementos en ASA. Se debe a una validación inadecuada de los archivos cuando se leen desde la memoria flash de un dispositivo vulnerable y permite la ejecución remota de código con privilegios del sistema raíz cuando se explota. UAT4356 lo está explotando en puertas traseras de pistas de Cisco con los nombres Line Dancer y Line Runner. En al menos un caso, el actor de la amenaza está instalando puertas traseras explotando CVE-2024-20353, una vulnerabilidad ASA separada con una clasificación de gravedad de 8,6 sobre 10 posibles.

Los ciberatacantes están experimentando con su último ransomware en empresas de África, Asia y América del Sur antes de atacar a países más ricos que tienen métodos de seguridad más sofisticados.

Los piratas informáticos han adoptado una “estrategia” de infiltrarse en sistemas en el mundo en desarrollo antes de pasar a objetivos de mayor valor, como América del Norte y Europa, según un informe publicado el miércoles por la firma de seguridad cibernética Performanta.

«Los adversarios están utilizando los países en desarrollo como una plataforma donde pueden probar sus programas maliciosos antes de que los países con más recursos sean atacados», dijo la compañía a Banking Risk and Regulatory, un servicio de FT Specialist.

Los objetivos recientes de ransomware incluyen un banco senegalés, una empresa de servicios financieros en Chile, una firma tributaria en Colombia y una agencia económica gubernamental en Argentina, que fueron atacados como parte de los simulacros de las pandillas en países en desarrollo, según mostraron los datos.

La investigación se produce cuando los ataques cibernéticos casi se han duplicado desde antes de la pandemia de COVID-19, exacerbados en el mundo en desarrollo por la rápida digitalización, buenas redes de Internet y una protección “inadecuada”, dijo el FMI este mes.

Las pérdidas reportadas por incidentes cibernéticos a empresas de todo el mundo desde 2020 habían aumentado a casi 28 mil millones de dólares, con miles de millones de registros robados o comprometidos, dijo el FMI, y agregó que los costos totales probablemente serían “sustancialmente más altos”.

La táctica de “preparación” funcionó porque las empresas en esos países tenían “menos conciencia de la seguridad cibernética”, dijo Nadir Izrael, director de tecnología del grupo de seguridad cibernética Armis.

«Digamos que vas a atacar a los bancos», dijo Izrael. «Se probaría un nuevo paquete de armas en un país como Senegal o Brasil, donde hay suficientes bancos que podrían ser similares, o brazos internacionales de empresas que son similares a lo que uno quisiera intentar atacar».

Medusa, una banda cibernética que “convierte archivos en piedra” robando y cifrando datos de empresas, comenzó a atacar empresas en 2023 en Sudáfrica, Senegal y Tonga, según el informe de Performanta. Medusa fue responsable de 99 infracciones en Estados Unidos, Reino Unido, Canadá, Italia y Francia el año pasado.

Los equipos de seguridad detectarían alertas sobre un ataque pendiente, pero el usuario promedio sólo se daría cuenta de uno cuando estuviera bloqueado de su sistema informático, dijo Hanah-Marie Darley, directora de investigación de amenazas de la firma de seguridad cibernética Darktrace.

Un archivo, con la línea de asunto !!!READ_ME_MEDUSA!!!.txt., indicaría al usuario que inicie sesión en la web oscura e inicie la negociación del rescate con el “servicio al cliente” de la pandilla. Si las víctimas se niegan, los ciberatacantes publican los datos robados.

Las empresas de seguridad cibernética monitorean la web oscura en busca de información y luego crean “honeypots” (sitios web falsos que imitan objetivos atractivos) en países en desarrollo para detectar ataques experimentales en una etapa temprana.

Cuando un grupo de ciberatacantes comenzó este año a discutir una nueva vulnerabilidad, denominada CVE-2024-29201, «se dirigieron específicamente a algunos [exposed servers] en países del tercer mundo para probar qué tan confiable era el exploit”, dijo Izrael de Armis, cuyos analistas estaban monitoreando las conversaciones de la pandilla en la web oscura.

Los ataques a los honeypots de Armis, 11 días después, confirmaron las sospechas: la banda sólo atacó el Sudeste Asiático, antes de utilizar las técnicas más ampliamente en una fase posterior.

Sherrod DeGrippo, director de estrategia de inteligencia de amenazas de Microsoft, sin embargo, dijo que algunas bandas cibernéticas eran demasiado “oportunistas” para probar nuevos ataques de manera tan metódica.

Más bien, los países en desarrollo habían experimentado una mayor actividad a medida que los piratas informáticos de los países más pobres podían comprar ransomware barato y realizar sus propios pequeños ataques, dijo DeGrippo.

Pandillas como Medusa habían comenzado a vender sus inventos a piratas informáticos menos sofisticados, dijo el director de Darktrace, Darley. Esos piratas informáticos de menor escala a menudo no sabían cómo funciona la tecnología y la usaban contra objetivos más fáciles, dijo.

Cualquier atacante que se tomara el tiempo de “aislar sus técnicas” (para experimentar en zonas cibernéticas relativamente desprotegidas en países en desarrollo) era más sofisticado, añadió.

Teresa Walsh, directora de inteligencia del organismo global de inteligencia sobre amenazas cibernéticas FS-ISAC, dijo que las pandillas trabajarían dentro del entorno local para «perfeccionar» los métodos de ataque, dijo, y luego «exportar» sus esquemas a países donde se pueda hablar el mismo idioma. : Desde Brasil hasta Portugal, por ejemplo.

La velocidad de la adopción digital en África está «superando el desarrollo de medidas sólidas de seguridad cibernética, y la conciencia general sobre las amenazas cibernéticas es baja», dijo Brendan Kotze, analista cibernético de Performanta.

«En combinación, esto crea una brecha cada vez más preocupante en las defensas que los ciberdelincuentes están explotando», añadió.

Ellesheva Kissin es reportera de Regulación y Riesgo Bancario, un servicio de FT Specialist.

© 2024 The Financial Times Ltd. Todos los derechos reservados. No debe ser redistribuido, copiado ni modificado de ninguna manera.

Gigante de los seguros médicos UnitedHealth Group ha confirmado que un ataque de ransomware a su filial de tecnología sanitaria Change Healthcare a principios de este año resultó en un enorme robo de datos sanitarios privados de los estadounidenses.

UnitedHealth dijo en un comunicado el lunes que una banda de ransomware tomó archivos que contienen datos personales e información de salud protegida que, según dice, puede «cubrir una proporción sustancial de personas en Estados Unidos».

El gigante de los seguros médicos no dijo cuántos estadounidenses se ven afectados, pero dijo que la revisión de los datos “probablemente tomaría varios meses” antes de que la compañía comenzara a notificar a las personas que su información fue robada en el ciberataque.

Change Healthcare procesa seguros y facturación para cientos de miles de hospitales, farmacias y consultorios médicos en todo el sector sanitario de EE. UU.; tiene acceso a cantidades masivas de información de salud sobre aproximadamente la mitad de todos los estadounidenses.

UnitedHealth dijo que aún no había visto evidencia de que los historiales médicos o los historiales médicos completos hubieran sido extraídos de sus sistemas.

La admisión de que los piratas informáticos robaron datos de salud de los estadounidenses se produce una semana después de que un nuevo grupo de piratas informáticos comenzara a publicar partes de los datos robados en un esfuerzo por extorsionar a la empresa para que exigiera un segundo rescate.

La pandilla, que se hace llamar RansomHub, publicó varios archivos en su sitio de filtración en la web oscura que contienen información personal sobre pacientes en una variedad de documentos, algunos de los cuales incluían archivos internos relacionados con Change Healthcare. RansomHub dijo que vendería los datos robados a menos que Change Healthcare pagara un rescate.

En una declaración proporcionada a TechCrunch, el portavoz de UnitedHealth, Tyler Mason, confirmó que la empresa pagó a los ciberdelincuentes. «Se pagó un rescate como parte del compromiso de la empresa de hacer todo lo posible para proteger los datos de los pacientes contra la divulgación». La empresa no confirmó el monto que pagó.

RansomHub es la segunda pandilla que exige un rescate a Change Healthcare. Según se informa, el gigante de la tecnología sanitaria pagó 22 millones de dólares a una banda criminal con sede en Rusia llamada ALPHV en marzo, que luego desapareció, privando a la filial que llevó a cabo el robo de datos de su parte del rescate.

RansomHub afirmó en su publicación junto con los datos robados publicados que «nosotros tenemos los datos y no ALPHV».

En su declaración del lunes, UnitedHealth reconoció la publicación de algunos de los archivos, pero no llegó a reclamar la propiedad de los documentos. «Esta no es una notificación oficial de incumplimiento», dijo UnitedHealth.

El Wall Street Journal informó el lunes que la filial de piratería criminal de ALPHV irrumpió en la red de Change Healthcare utilizando credenciales robadas para un sistema que permite el acceso remoto a su red. Los piratas informáticos estuvieron en la red de Change Healthcare durante más de una semana antes de implementar ransomware, lo que les permitió robar cantidades significativas de datos de los sistemas de la empresa.

El ciberataque a Change Healthcare comenzó el 21 de febrero y provocó cortes generalizados en farmacias y hospitales de todo Estados Unidos. Durante semanas, los médicos, farmacias y hospitales no pudieron verificar los beneficios para los pacientes al dispensar medicamentos, organizar la atención hospitalaria o procesar las autorizaciones previas necesarias para cirugías.

Gran parte del sistema de salud de EE. UU. quedó paralizado, y los proveedores de atención médica enfrentan presiones financieras a medida que crecen los retrasos y persisten los cortes.

UnitedHealth informó la semana pasada que el ataque de ransomware le ha costado más de 870 millones de dólares en pérdidas. La compañía informó que obtuvo 99.800 millones de dólares en ingresos durante los primeros tres meses del año, obteniendo mejores resultados de lo que esperaban los analistas de Wall Street.

El director ejecutivo de UnitedHealth, Andrew Witty, quien recibió cerca de $21 millones en compensación total durante todo el año 2022, testificará ante los legisladores de la Cámara el 1 de mayo.

Actualizado con comentarios de UnitedHealth.

Para Change Healthcare y los asediados consultorios médicos, hospitales y pacientes que dependen de él, la confirmación de su pago de extorsión a los piratas informáticos añade una amarga coda a una historia ya de por sí distópica. La parálisis digital de Change Healthcare, una subsidiaria de UnitedHealth Group, por parte de AlphV, afectó la aprobación de seguros de recetas y procedimientos médicos para cientos de consultorios médicos y hospitales en todo el país, lo que la convirtió, según algunas medidas, en la interrupción del ransomware médico más extendida jamás realizada. Una encuesta entre miembros de la Asociación Médica Estadounidense, realizada entre el 26 de marzo y el 3 de abril, encontró que cuatro de cada cinco médicos habían perdido ingresos como resultado de la crisis. Muchos dijeron que estaban usando sus propias finanzas personales para cubrir los gastos de su consultorio. Mientras tanto, Change Healthcare dice que ha perdido 872 millones de dólares por el incidente y proyecta que esa cifra aumentará a más de mil millones a largo plazo.

La confirmación de Change Healthcare de su pago de rescate ahora parece mostrar que gran parte de esas catastróficas consecuencias para el sistema de salud de EE. UU. se desarrollaron. después ya había pagado a los piratas informáticos una suma exorbitante: un pago a cambio de una clave de descifrado para los sistemas que los piratas informáticos habían cifrado y la promesa de no filtrar los datos robados de la empresa. Como suele ser el caso en los ataques de ransomware, la interrupción de sus sistemas por parte de AlphV parece haber sido tan generalizada que el proceso de recuperación de Change Healthcare se ha prolongado mucho después de obtener la clave de descifrado diseñada para desbloquear sus sistemas.

En lo que respecta a los pagos de ransomware, 22 millones de dólares no sería lo máximo que una víctima ha desembolsado. Pero está cerca, dice Brett Callow, un investigador de seguridad centrado en ransomware que habló con WIRED sobre el pago sospechoso en marzo. Sólo unos pocos pagos excepcionales, como los 40 millones de dólares pagados a los piratas informáticos por CNA Financial en 2021, superan esa cifra. «No carece de precedentes, pero ciertamente es muy inusual», dijo Callow sobre la cifra de 22 millones de dólares.

Esa inyección de fondos de 22 millones de dólares en el ecosistema de ransomware alimenta aún más un círculo vicioso que ha alcanzado proporciones epidémicas. La empresa de rastreo de criptomonedas Chainalysis descubrió que en 2023, las víctimas de ransomware pagaron a los piratas informáticos que las atacaban 1.100 millones de dólares, un nuevo récord. El pago de Change Healthcare puede representar sólo una pequeña gota en ese cubo. Pero recompensa a AlphV por sus ataques altamente dañinos y puede sugerir a otros grupos de ransomware que las empresas de atención médica son objetivos particularmente rentables, dado que esas empresas son especialmente sensibles tanto al alto costo financiero de esos ciberataques como a los riesgos que representan para la salud de los pacientes.

El desorden de Change Healthcare se ve agravado por una aparente doble traición dentro del sector clandestino del ransomware: AlphV, según todas las apariencias, fingió su propia eliminación policial después de recibir el pago de Change Healthcare en un intento de evitar compartirlo con sus supuestos afiliados, los piratas informáticos que se asocian con el grupo para penetrar a las víctimas en su nombre. El segundo grupo de ransomware que amenaza a ChangeHealthcare, RansomHub, ahora afirma a WIRED que obtuvieron los datos robados de esos afiliados, que todavía quieren que les paguen por su trabajo.

Esto ha creado una situación en la que el pago de Change Healthcare ofrece poca garantía de que sus datos comprometidos no seguirán siendo explotados por piratas informáticos descontentos. “Estos afiliados trabajan para múltiples grupos. Les preocupa que les paguen ellos mismos y no hay confianza entre los ladrones”, dijo DiMaggio de Analyst1 a WIRED en marzo. «Si alguien jode a otra persona, no sabes qué va a hacer con los datos».

Todo eso significa que Change Healthcare todavía tiene pocas garantías de haber evitado un escenario aún peor que el que ha enfrentado hasta ahora: pagar lo que puede ser uno de los rescates más grandes de la historia y seguir viendo sus datos derramados en la web oscura. «Si se filtra después de que pagaron 22 millones de dólares, es como prender fuego a ese dinero», advirtió DiMaggio en marzo. «Habrían quemado ese dinero por nada».

Un motivado financieramente Un grupo de piratas informáticos criminales dice que ha robado una base de datos confidencial que contiene millones de registros que las empresas utilizan para examinar a clientes potenciales en busca de vínculos con sanciones y delitos financieros.

Los piratas informáticos, que se hacen llamar GhostR, dijeron que robaron 5,3 millones de registros de la base de datos de detección World-Check en marzo y amenazan con publicar los datos en línea.

World-Check es una base de datos de detección utilizada para verificaciones de “conozca a su cliente” (o KYC), que permite a las empresas determinar si los clientes potenciales son de alto riesgo o delincuentes potenciales, como personas con vínculos con el lavado de dinero o que están bajo sanciones gubernamentales. Los piratas informáticos le dijeron a TechCrunch que robaron los datos de una empresa con sede en Singapur con acceso a la base de datos World-Check, pero no nombraron a la empresa.

Una parte de los datos robados, que los piratas informáticos compartieron con TechCrunch, incluye personas que fueron sancionadas tan recientemente como este año.

Simon Henrick, portavoz del London Stock Exchange Group, que mantiene la base de datos, dijo a TechCrunch: “Esto no fue una violación de seguridad de LSEG/nuestros sistemas. El incidente involucra el conjunto de datos de un tercero, que incluye una copia del archivo de datos de World-Check. Esto se obtuvo ilegalmente del sistema de terceros. Estamos en contacto con el tercero afectado para garantizar que nuestros datos estén protegidos y garantizar que se notifique a las autoridades correspondientes”.

LSEG no nombró a la empresa externa, pero no cuestionó la cantidad de datos robados.

La porción de datos robados vistos por TechCrunch contiene registros de miles de personas, incluidos funcionarios gubernamentales actuales y anteriores, diplomáticos y empresas privadas cuyos líderes son considerados «personas políticamente expuestas», que corren un mayor riesgo de involucrarse en corrupción o soborno. La lista también incluye personas acusadas de estar implicadas en el crimen organizado, presuntos terroristas, agentes de inteligencia y un proveedor europeo de software espía.

Los datos varían según el registro. La base de datos contiene nombres, números de pasaporte, números de Seguro Social, identificadores de cuentas criptográficas en línea y números de cuentas bancarias, y más.

World-Check es actualmente propiedad del London Stock Exchange Group tras un acuerdo de 27.000 millones de dólares para comprar el proveedor de datos financieros Refinitiv en 2021. LSEG recopila información de fuentes públicas, incluidas listas de sanciones, fuentes gubernamentales y medios de comunicación, y luego proporciona la base de datos como una suscripción. a las empresas para llevar a cabo la debida diligencia con el cliente.

Pero se sabe que las bases de datos privadas, como World-Check, contienen errores que pueden afectar a personas completamente inocentes sin nexo o conexión con el crimen pero cuya información está almacenada en estas bases de datos.

En 2016, una copia anterior de la base de datos de World-Check se filtró en línea luego de una falla de seguridad en una empresa externa con acceso a los datos, incluido un ex asesor del gobierno del Reino Unido, a quien World-Check le había aplicado una etiqueta de “terrorismo”. su nombre. El gigante bancario HSBC cerró cuentas bancarias pertenecientes a varios musulmanes británicos prominentes después de que la base de datos World-Check las calificara con etiquetas de “terrorismo”.

Un portavoz de la autoridad de protección de datos del Reino Unido, la Oficina del Comisionado de Información, no hizo comentarios de inmediato sobre la violación.

---

Para contactar a este reportero, comuníquese por Signal y WhatsApp al +1 646-755-8849, o por correo electrónico. También puede enviar archivos y documentos a través de SecureDrop.

Hackers altamente capaces están atacando múltiples redes corporativas explotando una vulnerabilidad de día cero de máxima gravedad en un producto de firewall de Palo Alto Networks, dijeron investigadores el viernes.

La vulnerabilidad, que ha estado bajo explotación activa durante al menos dos semanas, permite a los piratas informáticos sin autenticación ejecutar código malicioso con privilegios de root, el nivel más alto posible de acceso al sistema, dijeron los investigadores. El alcance del compromiso, junto con la facilidad de explotación, le ha otorgado a la vulnerabilidad CVE-2024-3400 la calificación de gravedad máxima de 10,0. Los ataques en curso son los últimos de una serie de ataques dirigidos a firewalls, VPN y dispositivos de transferencia de archivos, que son objetivos populares debido a su gran cantidad de vulnerabilidades y su canal directo hacia las partes más sensibles de una red.

Es probable que al UTA0218 “altamente capaz” se le unan otros

El día cero está presente en los firewalls PAN-OS 10.2, PAN-OS 11.0 y/o PAN-OS 11.1 cuando están configurados para usar tanto la puerta de enlace GlobalProtect como la telemetría del dispositivo. Palo Alto Networks aún tiene que solucionar la vulnerabilidad, pero insta a los clientes afectados a seguir la solución alternativa y la guía de mitigación que se proporciona aquí. El consejo incluye habilitar el ID de amenaza 95187 para aquellos con suscripciones al servicio de Prevención de amenazas de la compañía y garantizar que se haya aplicado protección contra vulnerabilidades a su interfaz GlobalProtect. Cuando eso no sea posible, los clientes deben desactivar temporalmente la telemetría hasta que haya un parche disponible.

Volexity, la empresa de seguridad que descubrió los ataques de día cero, dijo que actualmente no puede vincular a los atacantes con ningún grupo conocido previamente. Sin embargo, según los recursos necesarios y las organizaciones a las que se dirigen, son «altamente capaces» y probablemente estén respaldadas por un Estado-nación. Hasta ahora, se sabe que solo un grupo de amenazas, al que Volexity rastrea como UTA0218, está aprovechando la vulnerabilidad en ataques limitados. La compañía advirtió que a medida que nuevos grupos se enteren de la vulnerabilidad, es probable que CVE-2024-3400 sea objeto de explotación masiva, al igual que los recientes días cero que afectaron a productos como Ivanti, Atlassian, Citrix y Progress en los últimos meses.

«Al igual que con revelaciones públicas anteriores de vulnerabilidades en este tipo de dispositivos, Volexity evalúa que es probable que UTA0218 y potencialmente otros actores de amenazas que puedan desarrollar exploits para esta vulnerabilidad observen un aumento en la explotación en los próximos días», investigadores de la compañía. escribió el viernes. “Este aumento en la actividad será impulsado por la urgencia de cerrar esta ventana de acceso debido a las mitigaciones y parches que se están implementando. Por lo tanto, es imperativo que las organizaciones actúen rápidamente para implementar las mitigaciones recomendadas y realizar revisiones de compromiso de sus dispositivos para comprobar si se requiere una mayor investigación interna de sus redes”.

Los primeros ataques que Volexity ha visto tuvieron lugar el 26 de marzo en lo que los investigadores de la compañía sospechan que fue UTA0218 que probó la vulnerabilidad colocando archivos de cero bytes en dispositivos de firewall para validar la explotabilidad. El 7 de abril, los investigadores observaron que el grupo intentaba sin éxito instalar una puerta trasera en el firewall de un cliente. Tres días después, los ataques del grupo desplegaron con éxito cargas útiles maliciosas. Desde entonces, el grupo de amenazas ha implementado malware post-explotación personalizado y nunca antes visto. La puerta trasera, que está escrita en lenguaje Python, permite a los atacantes utilizar solicitudes de red especialmente diseñadas para ejecutar comandos adicionales en dispositivos pirateados.