Hackers de élite rusos con nuevos trucos de magia

Hackers de élite rusos con nuevos trucos de magia

El grupo APT 28, también conocido como Fancy Bear o Sofacy, el cual en el 2016 hackeó al Comité Nacional Demócrata, cuenta con una nueva herramienta de phishing en su arsenal, según los hallazgos de la firma de seguridad Palo Alto Networks. El troyano, oculto en un documento adjunto malicioso, utiliza algunas técnicas clásicas para enviar información sobre un sistema de destino a un servidor remoto, pero la herramienta ha sido rediseñada para su uso actual.

APT 28 es conocido por evolucionar constantemente sus herramientas y que recurre a métodos que han pasado de moda para crear algo nuevo que vuela bajo el radar. Su nuevo troyano “Cannon”, que Palo Alto vio durante los ataques a fines de octubre y principios de noviembre, hace ambas cosas. El malware se comunica con su servidor de comando y control a través de correos electrónicos enviados mediante una conexión encriptada, por lo que no se pueden leer en el camino. Los piratas informáticos utilizan todo tipo de esquemas de comunicación para comando y control, como ocultar comunicaciones en el tráfico de red habitual de una víctima, participar en servicios web comprometidos o manipular las solicitudes de protocolo de Internet normales. El uso del correo electrónico para esta comunicación es una técnica que fue muy popular hace varios años, pero se desvaneció en gran medida hasta su reaparición.

“Los actores se alejaron probablemente porque la técnica se hizo más conocida”, dice Miller-Osborn. “Encaja con la reorganización constante de Sofacy. No es raro verlos salir con una nueva variante o una familia de malware totalmente nueva”.

Los investigadores de Palo Alto Networks solo han encontrado una muestra del documento malintencionado Cannon hasta el momento, pero fue parte de una campaña de phishing APT 28 más amplia que observaron que se enfocó en objetivos gubernamentales en América del Norte, Europa y un antiguo estado de la URSS que la empresa se negó a nombrar.

Mientras tanto, los investigadores de FireEye observaron una extensa campaña de phishing lanzada la semana pasada que parece provenir de hackers APT 29, también llamados Cozy Bear. El grupo participó en el DNC y otros trucos durante las elecciones presidenciales de 2016 en los EE. UU. Y luego pasó a otros piratas informáticos del gobierno internacional, pero parece que está inactivo desde algún momento de 2017.

En parte debido a ese largo período de inactividad, es difícil decir con certeza que es el mismo grupo que está resurgiendo ahora. Pero después de profundizar en la ola de ataques, FireEye dice que es probable que Cozy Bear esté detrás de ella.

“Hace tanto tiempo que no los vemos que esto me sorprendió”, dice Matthew Dunwoody, investigador principal de seguridad en FireEye. “Este es un grupo que históricamente ha sido muy innovador en la forma en que han hecho las cosas. Algunos otros grupos intentan ser muy bajos y lentos sobre cómo lanzan un ataque. Pero a veces ser muy ruidoso y usar eso como cobertura para tus actividades más discretas también puede funcionar, especialmente si eres Rusia y no estás tan preocupado necesariamente por las repercusiones “.

APT 29 ha utilizado este estilo bullicioso para perseguir una serie de objetivos internacionales en las últimas semanas, incluidos think tanks, medios de comunicación, transporte, grupos farmacéuticos, agencias de aplicación de la ley, contratistas de defensa y grupos militares de los EE. UU. Los atacantes se centran en muchas víctimas, tanto grupos como personas individuales, a las que se han dirigido en el pasado, y sus ataques a esta campaña están diseñados para individuos, en lugar de llegar al azar a personas dentro de una organización.

Los mensajes de phishing están diseñados para que parezcan provenir del Departamento de Estado de EE. UU., Aunque FireEye enfatiza que no hay evidencia de que el Departamento de Estado haya comprometido las cuentas. Los mensajes contienen enlaces maliciosos que inician la descarga de una puerta trasera de Windows, el popular malware llamado Cobalt Strike que es utilizado por numerosos grupos de piratería diferentes. Dunwoody dice que APT 29 se basa tradicionalmente en malware personalizado, pero podría estar pasando a explotaciones comerciales como parte de una tendencia criminal más grande hacia el uso de herramientas más genéricas que ya están disponibles.

“Definitivamente prepararon esto con cuidado y se tomaron su tiempo, y parece que son objetivos seleccionados”, dice Dunwoody. “Muchos atacantes perseguirán a la persona que creen que es más probable que haga clic en un enlace, mientras que APT 29 tiene un historial de perseguir a individuos específicos para aumentar las probabilidades de obtener realmente los datos que están buscando”.

Es posible que las similitudes entre la campaña de phishing que observó FireEye y los movimientos pasados ​​del APT 29 sean falsas, plantadas para hacer que la actividad parezca piratería patrocinada por el estado ruso cuando en realidad es otra cosa. Pero Dunwoody dice que FireEye quería publicar su evidencia para que otros investigadores puedan evaluar la atribución al APT 29.

En conjunto, los dos informes sugieren que, a pesar de los esfuerzos recientes de los EE. UU. Para controlar la actividad de piratería en Rusia a raíz de las elecciones de 2016, incluida una acusación detallada relacionada con sus actividades, y decirles a los piratas informáticos que no lo hagan, no han disuadido por completo al GRU .

“Estamos viendo que APT 28 continúa haciendo phishing”, dice Dunwoody. “Eso no debería sorprender a nadie”.

?Espero no te hayas hospedado en un Marriott antes de Septiembre?

?Espero no te hayas hospedado en un Marriott antes de Septiembre?

Todos ya conocemos la cadena de hoteles “Marriott”, famosa por vender experiencias perfectas en los viajes de turistas. Esta semana revelaron que al parecer hubo “piratas” informáticos los cuales comprometieron la base de datos de reservaciones, aproximadamente 500 millones de personas y su información.

 ???

No olvidemos que hoy en día Marriott también tiene Starwood Hotels y Resorts Worldwide, los cuales tal vez fueron afectados por igual.

Este “data breach” o violación lleva ocurriendo desde el 2014, después de que algún grupo o persona no autorizada logró obtener acceso a la base de datos de reservaciones de invitados de Starwood, este grupo o persona logró copiar y cifrar la información.

Marriott descubrió el 8 de septiembre este problema, después de que recibieron una alerta en cuanto a que intentaron obtener acceso a la base de datos de Starwood en los Estados Unidos.

Resulta que la investigación delató que hubo acceso a la base de datos de las propiedades de Starwood en cuanto a la información de clientes. Esto significa que ahí van, nombres, direcciones de correo electrónico, teléfonos, dirección de correo, pasaportes, fechas de nacimiento, sexo, fechas de reservaciones y más.

Lo que debe preocuparnos es que algunos datos robados incluyen números de tarjetas de pago, con fecha de vencimiento. Aunque según Marriott, los números de tarjetas fueron cifrados mediante un AES -128….

El problema es que tal vez los hackers se llevaron las llaves de encriptado.

Celulares rotos en Tokyo por el, ¡¡¡Pwn20wn 2018!!!

Celulares rotos en Tokyo por el, ¡¡¡Pwn20wn 2018!!!

¡Hackers de sombrero blanco, se reunieron nuevamente para demostrar que lo pueden todo!

iPhoneX, Samsung Galaxy S9, Xiaomi Mi6 estuvieron en la lista de dispositivos “rotos”, las competencias eran simples, Demostrar que hay bugs y se pueden infiltrar a los nuevos sistemas operativos de los dispositivos mobiles, un equipo llamado Fluoroacetate logró estas hazañas en varios dispositivos, entre ellos el iPhone, donde lograron conseguir una foto ya borrada del celular, el premio por este logro era de $50,000, todos los premios rondaban por ese número, y el equipo de Fluoroacetate (fluoroacetato) ganó “Master of Pwn”.

¿Llegaremos a ver mexicanos compitiendo pronto? Eso espero.

¿Adivino = a Hacker?

¿Adivino = a Hacker?

Hola hackers, en esta ocasión les traigo un vídeo para que se diviertan un rato, la verdad es que no. Es para que me ayudes a compartir la idea de no subir toda nuestra información a Internet.

Alguien con varias habilidades, como se ve el día uno del curso de GHOST que es para recopilar información de nuestra víctima, estos conocimientos se podrían utilizar para el mal.

Bueno dejare de hablar para que puedas disfruta el vídeo.