Un fallo en la conectividad Thunderbolt podría ser el causante de de exponer a los PCs a ataques contra su placa base a través de los puertos USB y Displayport.
Según algunas fuentes, las entradas USB-C y DisplayPort con capacidades Thunderbolt son vulnerables a ataques que podrían ser severos. Este tipo de puertos otorga acceso directo a la memoria (DMA) a los periféricos conectados. Esto significa que tales dispositivos desmontables (Los monitores 4k, las tarjetas gráficas externas (GPU), los concentradores USB, las tarjetas de red) interactúan directamente con la placa base de la máquina. Sin embargo, también significa que los atacantes cibernéticos pueden garantizar el acceso sin restricciones al hardware principal. Esta vulnerabilidad se detectó en 2016 y se alentó a los desarrolladores a desplegar sistemas de seguridad más fuertes para evitar su explotación; sin embargo, la mayoría de los sistemas operativos actualmente disponibles siguen siendo vulnerables en diversos grados.
Los periféricos constituyen una vulnerabilidad importante para los sistemas en general. En este caso, Pinkerton cree que es probable que el uso de dispositivos habilitados para Thunderbolt exponga a a los ordenadores a ataques potencialmente fatales. Los puertos DMA se basan en una entrada-salida que cuentan con un sistemas de seguridad IOMMU por el que los periféricos sólo tienen permiso para acceder a los activos necesarios para realizar su función determinada. Sin embargo, los dispositivos externos pueden codificarse y presentar credenciales falsas para obtener acceso a activos clave en la placa base; de esta manera, terceros maliciosos podrían crear puertas traseras al sistema principal de la máquina. Este riesgo es mayor para los dispositivos que usan Windows 7, 8, 10 Home y 10 Pro, que no son compatibles con IOMMU. Windows 10 Enterprise, MacOS, FreeBSD y Linux son vulnerables pero en menor grado, pero aún así muestran algunas debilidades. Pinkerton aconseja a sus clientes desplegar protocolos de seguridad necesarios para reforzar este tipo de vulnerabilidades.
Recientemente se han descubierto vulnerabilidades en redes móviles que afectan tanto dispositivos 4G y 5G
Como se reveló durante el Simposio NDSS de 2019, un grupo de investigadores descubrió tres tipos diferentes de ataques cibernéticos que podrían perpetrarse contra redes móviles 4G y 5G LTE. En su documento “Ataques de privacidad a los protocolos de paginación móvil 4G y 5G que usan información de canal lateral”, los investigadores afirman que se están utilizando dispositivos especializados para interceptar las señales móviles y hacerlas vulnerables a ToRPEDO, Piercer e IMSI. El ataque ToRPEDO permite al agresor enviar mensajes de paginación fabricados (mensajes enviados por la red al dispositivo para conocer la ubicación del dispositivo). Una vez se ha cometido el ataque ToRPEDO, el atacante puede recuperar el IMSI del dispositivo (la identificación del dispositivo en la red) para espiar las llamadas telefónicas de la víctima y SMS vía Piercer y ataques IMSI. Pinkerton espera que la vulnerabilidad en las redes móviles se pueda resolver a corto plazo; sin embargo, aún no se sabe el impacto que puede tener dicha vulnerabilidad. El 5 de marzo de 2018, un grupo de investigadores logró modificar el núcleo del protocolo 4G LTE para espiar a los usuarios, para generar datos de ubicación de usuarios falsos, así como para crear y enviar mensajes falsos a los usuarios de la red. Pinkerton aconseja a sus clientes ser conscientes del desarrollo del asunto, ya que no hay nada que puedan hacer para detener el ataque una vez éste se haya producido.
Recientemente se ha descubierto que la base de datos “GNCTD”, con un tamaño de 4.1GB, carece de seguridad y está perdiendo los datos de casi medio millón de ciudadanos indios.
El mes pasado, un investigador descubrió que un servidor que contenía información confidencial de 458.388 ciudadanos de Delhi no se había configurado adecuadamente, dejando la información accesible a los ciberataques. GNCTD es una base de datos desarrollada y administrada por Transerve Technologies, una compañía dedicada a la tecnología de recolección de datos y al desarrollo de ciudades inteligentes. Lo que aún no está claro es si esta base datos tiene también relación con el gobierno territorial de Delhi. Esta base de datos se encuentra ubicada en un servidor MongoDB.
La información filtrada incluye registros educativos, condiciones de salud, números de identificación de votantes y números de Adadhar (número de identificación emitido por el gobierno de India).
Pinkerton considera que este tema es preocupante, ya que no está claro todavía cuánto tiempo ha estado expuesta la base de datos o cuántos atacantes están involocrados.
MongoDB es un servidor muy popular y es utilizado por compañías como eBay y LinkedIn para almacenar información de código abierto. Aunque MongoDB constantemente recuerda a los administradores la forma correcta de configurar los servidores, generalmente lo dejan desprotegido.
Esta no es la primera vez que se presentan situaciones como esta, ya que el 11 de febrero de 2019 se filtraron 5 millones de bases de datos personales desde un servidor MongoDB almacenando la información de 41 empresas mexicanas.
Pinkerton aconseja a todos los clientes que utilizan MongoDB u otra base de datos NoSQL que se aseguren de que el servidor esté configurado correctamente y de que todas las opciones de seguridad estén habilitadas.
Un nuevo informe indica que los piratas informáticos rusos pueden moverse lateralmente a través de la red de una organización en
Menos de 20 minutos después de la infracción inicial.
El mes pasado, la empresa de ciberseguridad CrowdStrike emitió su Informe de Amenaza Global 2019: Adversary Tradecraft y The Importance of Speed. Dicha compañía (que ganó notoriedad tras ser contratada por el Comité Nacional Demócrata por sus preocupaciones de piratería durante las elecciones de 2016) descubrió algunos grupos de piratería patrocinados por determinados estados son sustancialmente más rápidos que incluso los hackers más experimentados. El informe analizó más de 30.000 intentos de intrusión y los categorizó por el grupo sospechoso de realizar el ataque. El estudio midió el tiempo entre el acceso inicial al sistema y el robo real de información y determinó los siguientes tiempos promedio en función de los países. De medio los ciberdelincuentes tardan 09:42:23 en perpetrar el crimen.
Irán 05:09:04
China 04:00:26
Corea del Norte 02:20:14
Rusia 00:18:49.
A raíz de este informe, Pinkerton plantea que los ataques cibernéticos por motivos políticos plantean amenazas creíbles para instituciones nacionales, infraestructura y empresas por igual. En los últimos meses, se han reportado ataques estatales a instituciones gubernamentales en todo el mundo. El más reciente, el ataque de febrero de 2019 contra el Parlamento australiano. Del mismo modo, algunas empresas las empresas han sido objetivo de grupos sospechosos de ser financiados por gobiernos extranjeros, con el último ataque importante que tuvo lugar en diciembre de 2018 contra importantes Periódicos con sede en California.
Para limitar la efectividad de los ataques sofisticados contra activos clave, Pinkerton aconseja a sus clientes diseñar estrategias de ciberseguridad que cumplan con la regla 1-10-60; es decir, las intrusiones deben detectarse en un minuto, investigarse en 10 minutos y erradicarse en no más de 60 minutos.
Carbon Black ha descubierto una nueva variante del malware Shlayer macOS.
Carbon Black, una firma de investigación de seguridad cibernética, anunció el descubrimiento de una nueva variante de malware macOS del sistema operativo de “Shlayer” versión 10.10.5-10.14.3. Los ciberdelincuentes ocultan el malware como una actualización de Adobe Flash en un gran número de sitios web, incluidos algunos que
aparentemente son dominios legítimos. El malware aumenta los privilegios después de la infección. Distribuido a través de archivos DMG, PKG, ISO y ZIP, muchos de los cuales posee credenciales legítimas de desarrollador de Apple, el malware recopila información del sistema, crea una URL personalizada con la información recopilada y luego descarga la segunda etapa. Después de esta segunda etapa, el malware intenta recolectar la carga útil protegida por contraseña y la almacena en un archivo. Luego, el malware intenta escalar privilegios para obtener acceso de root al dispositivo para descargar software adicional y deshabilitar el sistema.
Como el malware posee dominios legítimos y credenciales de desarrollador, Pinkerton indica que el malware representa una mayor amenaza para los clientes que utilizan dispositivos macOS. Además, como el malware afecta a las versiones recientes de macOS, a Pinkerton le resulta poco probable que la instalación de las últimas versiones de MacOS mitigará la amenaza de esta variante de malware. Pinkerton recomienda a los clientes que analicen detenidamente cualquier solicitud basada en el sitio web para actualizar. Se recomienda a los clientes que deben usar Adobe Flash que se aseguren de que el programa se actualice a la versión más reciente a través de el propio programa.
Los ciberataques de piratas informáticos iraníes y chinos aumentaron debido a la retirada del presidente Trump del acuerdo nuclear de Irán y los conflictos comerciales con China.
Las agencias gubernamentales y los negocios estadounidenses han sido blanco de muchos ataques por parte de ciberdelincuentes de estos dos países. Analistas de la Seguridad Nacional. La Agencia (NSA) afirmó que la mayoría de los ciberataques son de hackers iraníes y chinos. Desde la decisión del presidente de los Estados Unidos, Donald Trump, de concluir el acuerdo nuclear con Irán, así como la tensión comercial constante entre China y los Estados Unidos, han aumentado los ataques. Según informes de prensa,
los piratas informáticos iraníes han atacado agencias gubernamentales, bancos, corporaciones y otras entidades. Sin embargo, los ciberataques chinos se han centrado en
compañías relacionadas con el ejército de los EE. UU así como con compañías de tecnología con el fin de recopilar información clasificada sobre comercio e inteligencia militar.
Pinkerton evalúa que los ataques cibernéticos consistentes contra agencias gubernamentales y corporaciones en los Estados Unidos probablemente continuarán.
Aún no se han identificado las partes responsables debido a la complejidad de los ataques. Según los informes de los medios de comunicación, hay muchas empresas que han sido
objetivo de los hackers como Boeing, T-Mobile, General Electric Aviation, entre otros; sin embargo, no hay suficiente información para concluir.
Pinkerton recomienda clientes, especialmente aquellos con operaciones en los EE. UU. que se aseguren de que sus sistemas tengan los últimos parches de seguridad y software antivirus / antimalware. Además, Pinkerton aconseja a los clientes monitorear solicitudes entrantes a la red interna, principalmente de direcciones IP basadas en Irán y China.
