Twitter Facebook    

logo1

ESET descubre grupo de ciberespionaje que apunta al sector hotelero

ESetHackeoHoteles1PrincipalLa compañía de seguridad informática identificó a FamousSparrow, grupo que explotó la cadena de vulnerabilidades de Microsoft Exchange y afectó a hoteles, gobiernos, empresas de ingeniería y bufetes de abogados en Brasil, Canadá, Guatemala, entre otros países.

Redacción: Diario El Periodista     Foto: ESET

El equipo de investigación de ESET, compañía líder en detección proactiva de amenazas, descubrió un nuevo grupo de ciberespionaje que ataca principalmente a hoteles de todo el mundo, pero también a gobiernos, organizaciones internacionales, empresas de ingeniería y bufetes de abogados.

El equipo de investigación de ESET descubrió que FamousSparrow aprovechó las vulnerabilidades de Microsoft Exchange conocidas como ProxyLogon que ESET informó en marzo de 2021. Según la telemetría de ESET, FamousSparrow comenzó a explotar las vulnerabilidades al día siguiente al lanzamiento de los parches.

“Este es otro recordatorio de que es fundamental aplicar parches a las aplicaciones de Internet rápidamente o, si no es posible hacerlo rápidamente, no exponerlas a Internet en absoluto”, aconseja Matthieu Faou, investigador de ESET que descubrió FamousSparrow junto con su colega Tahseen Bin Taj.

El grupo ha estado activo desde al menos agosto de 2019 y ha estado dirigiendo sus ataques principalmente a hoteles en varios países. Además, se observadaron algunas víctimas de otros sectores, como organismos gubernamentales, organizaciones internacionales, empresas de ingeniería y bufetes de abogados. Los países en los que ESET observó víctimas son los siguientes: Brasil, Burkina Faso, Sudáfrica, Canadá, Israel, Francia, Guatemala, Lituania, Arabia Saudita, Taiwán, Tailandia y Reino Unido.

Según dijo Matthieu, “los hoteles son un blanco de ataque atractivo porque les permite a los atacantes obtener información de los clientes y sus hábitos de viaje, y además, potencialmente les da la posibilidad de la infraestructura de Wi-Fi para espiar en el tráfico de redes sin cifrado”.

El grupo tiene un historial aprovechando vulnerabilidades conocidas en aplicaciones de servidor como SharePoint y Oracle Opera. Las víctimas, que incluyen a gobiernos de todo el mundo, sugieren que la intención de FamousSparrow es el espionaje. ESET destaca algunos vínculos SparklingGoblin y DRBControl, pero no considera que los grupos sean lo mismo.

“FamousSparrow es actualmente el único usuario de backdoor personalizada que descubrimos en la investigación y que llamamos SparrowDoor. El grupo también usa dos versiones personalizadas de Mimikatz. La presencia de cualquiera de estas herramientas maliciosas personalizadas podría usarse para vincular incidentes con FamousSparrow ”, explica el investigador de ESET Tahseen Bin Taj.

Aunque el grupo de investigación de ESET considera que FamousSparrow es una entidad independiente, existen algunas conexiones con otros grupos APT conocidos. En un caso, los atacantes desplegaron una variante de Motnug, que es un loader utilizado por SparklingGoblin. En otro caso, se encontró en una máquina comprometida por FamousSparrow un Metasploit en ejecución utilizando cdn. kkxx888666[.]com como su servidor C&C (comando y control). Este dominio está relacionado con un grupo conocido como DRBControl.

Add a Comment

Telegram, los cibercriminales la utilizan cada vez más como alternativa a la dark web

TelegramESETPrincipal

ESET advierte que los cibercriminales están usando cada vez más Telegram como alternativa a la dark web para comprar, vender y compartir datos robados y herramientas de hacking.

Redacción: una colaboración de ESET Latinoamérica

En estos sitios bajo la superficie de Internet, dark web, a los que se acceden desde redes anónimas para lo que se utiliza el navegador Tor, los cibercriminales comercializan información y servicios utilizados en muchos casos para fines delictivos, como contratar servicios de hacking, compra y venta de credenciales robadas, de exploits para vulnerabilidades nuevas y conocidas, u otro tipo de información. Sin embargo, ESET, compañía líder en detección proactiva de amenazas, advierte que los cibercriminales encontraron una alternativa a estos mercados clandestinos en la aplicación de mensajería Telegram.

Una investigación de Cyberint junto a Financial Times reveló que hubo un incremento de más del 100% en el uso de la plataforma de mensajería por parte de cibercriminales. Este incremento se dio en gran medida luego de que WhatsApp anunciara este año los cambios en sus términos y condiciones, lo que llevó a que una gran cantidad de usuarios decidieran migrar a otras aplicaciones de mensajería.

Los enlaces hacia grupos de Telegram que fueron compartidos dentro de foros de la dark web pasaron de poco más de 170 mil en 2020 a más de un millón en 2021, afirma el estudio.

El interés en Telegram se debe principalmente a las características que ofrece, como son sus opciones de privacidad y anonimato en los chats secretos (pese a que varios grupos utilizados para fines ilegales son públicos) y la posibilidad de comunicarse con otras personas sin tener que compartir el número de teléfono. Además, otro de los atractivos de la aplicación es la posibilidad de enviar y recibir grandes cantidades de archivos, en varios formatos, y la posibilidad de encontrar fácilmente grupos públicos y privados de hasta 200 mil miembros sobre diversos temas.

Todo esto bajo una política de moderación que bloquea o suspende cuentas por un determinado período de tiempo a partir de denuncias de los propios usuarios. Según Telegram, la compañía está aumentando la cantidad de moderadores y diariamente eliminan más de 10 mil grupos públicos a partir de denuncias realizadas por los usuarios por violación de los términos del servicio.

Entre la presencia y la actividad que realizan los cibercriminales en la red Telegram se venden y publican cientos de miles de credenciales filtradas de plataformas de videojuegos como Minecraft, Origin o Uplay. La investigación pone como ejemplo un canal público llamado “combolist” que cuenta con aproximadamente 47 mil suscriptores.

Pero esta no es la única forma que tienen los ciberdelincuentes de utilizar la plataforma, ya que también se distribuye malware, exploits y recursos de hacking, explicó Cyberint. Por lo tanto, las empresas y profesionales que se dediquen a monitorear los rincones de Internet deberán estar atentos a la actividad en esta aplicación.

“Los medios de ofrecimiento de servicios o piezas de software relacionados a ataques informáticos son tan variados como creativos son quienes los ofrecen. Se debe abandonar la idea de este intercambio sucediendo solo en los mercados negros, e incluir en los monitoreos de amenazas también a aplicaciones que ofrecen un grado medio u alto de anonimato, sin importar si es o no de uso cotidiano”, comenta Martina López, Investigadora de Seguridad Informática de ESET Latinoamérica.

Visita: @ESETLA       /company/eset-latinoamerica

Add a Comment

Pasaportes sanitarios: ¿Están nuestros datos personales en buenas manos?

PasaporteSeguro1PrincipalLos pasaportes sanitarios de vacunación pueden facilitar el regreso a la normalidad, pero también existen preocupaciones sobre qué tipo de datos personales recopilan y qué tan bien los protegen. La compañía de seguridad informática ESET comparte algunos puntos a tener en cuenta sobre la protección de datos.

Redacción       Foto: ESET Latinoamérica

Durante la pandemia del COVID-19 la tecnología ha estado al frente y al centro de la escena, pero no sin presentar algunos problemas y desafíos. El uso de aplicaciones como comprobantes de vacunación y como validación de resultados de test son las últimas de la larga lista de tecnologías que han despertado preocupaciones en lo que refiere a privacidad y seguridad.

El concepto es muy simple; proporcionar una prueba de identidad, digital y verificable; y un comprobante de vacunación o una prueba para validar un diagnóstico COVID-19 negativo (o ambas).

A medida que los países, estados y ciudades abren y permiten reuniones masivas y eventos en espacios cerrados, muchos exigen previo a la entrada certificados de vacunación o que confirmen el resultado negativo de un test.

Si bien muchas autoridades han evitado ir en contra de los derechos de los ciudadanos al implementar que la vacunación sea un requisito para llevar una vida normal, como cenar en el interior de un restaurante o asistir a un concierto o espectáculo, la variante Delta los está haciendo reconsiderar.

La necesidad de utilizar pasaportes sanitarios que demuestran que una persona recibió la vacuna está creciendo y presenta dos desafíos distintos, ESET, compañía líder en detección proactiva de amenazas, analiza el derecho a la privacidad y cómo se puede utilizar la tecnología para ofrecer de forma segura la funcionalidad requerida.

“Tener que declarar que ha recibido una vacuna puede verse como una posible infracción a la privacidad de una persona al tener que compartir datos médicos personales con la persona y la organización que necesitan verificar esta información. Antes de subirse al tren de la privacidad y objetar esta medida, hay que tener en cuenta que la información sobre las vacunas recibidas ya está siendo compartida: podemos decir que el 99% de los estudiantes de escuela en los Estados Unidos y otros países han recibido al menos una vacuna, incluidas las que protegen contra el sarampión, las paperas y la rubéola, la poliomielitis y la difteria. Hay algunas exenciones por razones médicas, religiosas o filosóficas, pero la mayoría de los estudiantes han sido vacunados”, menciona Tony Anscombe, Chief Security Evangelist de ESET.

Cómo proteger tus datos al momento de elegir una app como credencial de vacunación

Cualquiera que sea la solución que ofrezca el gobierno, estado o proveedor de atención médica, debe ofrecer privacidad y seguridad de manera predeterminada, al tiempo que le brinda a la persona que necesita verificar su estado de vacunación datos suficientes para estar seguro de que se es la persona que recibió la vacuna o realizó un test. Las características que ESET sugiere verificar si se está contemplando el uso de una aplicación como credencial sanitaria digital son las siguientes:

La creación del pasaporte sanitario debe verificar la solicitud con los registros médicos.

Solo se utilizan los datos mínimos requeridos para crear el pasaporte: nombre, fecha de nacimiento y fecha de vacunación. Suficiente para validar la vacunación y, si es necesario, para validar la identidad frente a otra fuente, como una licencia de conducir.

La comunicación y cualquier dato almacenado deben estar cifrados. La política de privacidad debe indicar el propósito de la aplicación y que no se comparte información personal con terceros.

No se permite el seguimiento de la ubicación ni la recopilación innecesaria de datos, que no sean los datos del dispositivo, con el fin de mejorar la experiencia de la aplicación como es normal. Confirmación por parte del titular del pase cuando se escanea el pasaporte para su verificación. Solo descargar aplicaciones de una fuente oficial, como la App Store o Google Play.

Visítanos en:    @ESETLA   /company/eset-latinoamerica

Add a Comment

ESET, por qué evitar compartir la contraseña de Netflix

NetflixESET1PrincipalSi preguntamos si se comparte la contraseña de correo electrónico con alguien más, la gran mayoría probablemente diría “¡absolutamente no!”. Sin embargo, cuando se trata de servicios como Netflix, Amazon Prime y Spotify, compartir la contraseña suele ser bastante común.

Redacción: Diario El Periodista  

Desde ESET, compañía líder en detección proactiva de amenazas, mencionan que puede parecer inocente, pero cuando las personas utilizan para acceder a estos servicios la misma contraseña que usan para acceder a otras cuentas, se vuelve peligroso porque aumenta el riesgo de que alguna cuenta se vea comprometida.

Con las filtraciones de datos ocurriendo frecuentemente y la falta de concientización pública que existe, se deben comprender los riesgos del delito cibernético. Un buen lugar para comenzar es con la educación en el uso de contraseñas. Jake Moore, Security Specialist de ESET realizó una encuesta en Twitter, con más de 2.700 respuestas, y acerca una idea de cómo las personas tratan sus contraseñas:

Compartir la contraseña:

Primero preguntó qué servicios de streaming se utilizaban. Entre quienes contestaron mencionaron: Amazon Prime (50%) y Netflix (47%), como los más populares, YouTube TV obtuvo un 28% y Spotify un 23%, luego estaban Now TV, Disney + y Sky.

En segundo lugar, preguntó si compartían los accesos a estos servicios con alguien y, el 60% de las personas dijeron compartir sus cuentas con al menos otra persona, como familiares y amigos. Uno de cada tres titulares de cuentas compartió sus servicios con dos o más personas.

A continuación, consultó cómo hacían llegar estas contraseñas a sus contactos. El resultado fue que más de 1 de cada 5 personas reveló la contraseña diciéndola en voz alta y el 7,5% de los encuestados envió un mensaje de texto o correo electrónico con la contraseña.

Por lo tanto, más de una cuarta parte de las personas han entregado voluntariamente sus contraseñas a otra persona y, a menudo, también hay algún tipo de registro escrito de ellas.

Puede que esto no suene preocupante cuando conoce a la otra parte con la que está compartiendo la contraseña, pero ¿y si se la pasan a alguien sin pensar? Por ejemplo, ¿su hijo o hija adolescente compartiría sus cuentas familiares con sus amigos que no tienen la suerte de tener el servicio de medios particular del que todos hablan en la escuela?

De hecho, al investigar el fenómeno de compartir contraseñas, se observó que hay usuarios en Twitter que a veces preguntan a sus seguidores si compartirían sus credenciales de Netflix con ellos, y algunos seguidores realmente lo hacen.

Además, de las personas que participaron de la encuesta, poco más del 1% perdió el contacto con una o más personas con las que comparte el acceso a un servicio de streaming.

Reutilización de contraseña

Además, el 14% de las personas usan las mismas contraseñas en varias cuentas en línea, lo que significa que sus cuentas pueden convertirse en opciones fáciles de vulnerar para los delincuentes. Reutilizar contraseñas es riesgoso, incluso si la contraseña es una robusta, algo como: “Afeg45t3@4DFew/15f][_}1”.

Las contraseñas complejas son más fuertes contra los ataques en los que los delincuentes utilizan la ingeniería social y la búsqueda de datos públicos para determinar una contraseña, pero al duplicarla en cualquier lugar de Internet, aumentan las posibilidades de verse comprometidas incluso si la contraseña no es simple, como puede ser el nombre de un hijo.

Sin embargo, la mayoría de las personas (52%) quieren compartir sus cuentas y, por lo tanto, necesitan mostrar la contraseña. Escribir una contraseña compleja puede ser una experiencia frustrante, pero puede ser una tarea más sencilla con la ayuda de los administradores de contraseñas. La mayoría de los usuarios también querrán ingresar sus datos en múltiples dispositivos como televisores, computadoras y teléfonos inteligentes.

“Mi consejo sería usar una frase como contraseña que esté compuesta por al menos tres palabras aleatorias con alguna puntuación o números para separar las palabras. Esto permitirá recordar la frase que se utiliza como contraseña con solo mirarla una vez y será fácil de recordar dónde utilizarla. También es una buena idea cambiar las contraseñas de los servicios de streaming una vez al año. Esto eliminará de la lista a cualquiera que haya obtenido acceso durante el último año y que tal vez no debería seguir teniéndolo”, menciona Jake Moore.

Administradores de contraseñas

Dónde almacenar estas contraseñas únicas y los detalles de la cuenta, más si se tiene distintas cuentas y es difícil recordar cada una de las contraseñas que uso. La respuesta está en el uso de un gestor de contraseñas robusto. Según ESET, esta es una forma segura de almacenar contraseñas para que no se tenga que recordar cientos de credenciales únicas y complejas. Una vez que se necesite usar una contraseña en particular, se puede abrir el administrador de contraseñas, posiblemente incluso usando seguridad biométrica, y copiar la contraseña en el campo requerido.

“Trabajar desde casa ha significado que hemos tenido que adaptarnos a una nueva forma de vida, y esto puede haber significado adaptarnos a un nuevo conjunto de prácticas dentro de nuestros nuevos entornos de oficina en casa. Las prácticas, como mejorar la seguridad de nuestro router o usar una VPN, ayudan a que el teletrabajo sea más seguro. Pero es asombroso descubrir que tan pocas personas utilizan un administrador de contraseñas, solo el 26% de los encuestados mencionó utilizarla”, comenta el especialista de ESET.

Desde ESET recomiendan descargar un administrador de contraseñas confiable e instalarlo tanto en el teléfono, la tableta, como en la computadora. Estas herramientas son sólidas y permitirá ser el único que podrá acceder a ellas, manteniendo a posibles criminales alejados de las contraseñas.

Visítanos en:     @ESETLA       /company/eset-latinoamerica

Add a Comment

ESET descubre campaña de espionaje a usuarios de Android de la etnia kurda

AndroidEset1PrincipalESET identificó seis perfiles de Facebook que compartían aplicaciones de espionaje de Android como parte de esta campaña, realizada por el grupo BladeHawk.

Redacción          Foto: cortesía

Investigadores de ESET identificaron una campaña de espionaje dirigida a dispositivos móviles que apunta al grupo étnico kurdo (pueblos indígenas de las llanuras y tierras altas de Mesopotamia, que actualmente comprende el sureste de Turquía, noreste de Siria, norte de Irak, noroeste de Irán y suroeste de Armenia).

Esta campaña ha estado activa al menos desde marzo de 2020, distribuyendo (a través de perfiles dedicados de Facebook) dos backdoors para Android (conocidos como 888 RAT y SpyNote) disfrazados como aplicaciones legítimas. Estos perfiles parecían estar compartiendo noticias relacionadas con Android en idioma kurdo y noticias para los partidarios de los kurdos.

“Esta campaña de espionaje está activa desde marzo de 2020 y tiene como único objetivo dispositivos Android. Apuntó al grupo étnico kurdo a través de por lo menos 28 publicaciones maliciosas en Facebook que llevarían a potenciales víctimas a descargar 888 RAT para Android o SpyNote”, comenta Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.

La mayoría de las publicaciones maliciosas de Facebook dieron lugar a descargas del RAT multiplataforma de uso comercial 888 RAT, que ha estado disponible en el mercado clandestino desde 2018. En 2019, una copia descifrada de la versión Pro del builder 888 RAT estuvo disponible en algunos sitios web y, desde entonces, detectamos cientos de casos en todo el mundo utilizando 888 RAT para Android, agregó el especialista.

Algunos de estos perfiles de Facebook difundieron adicionalmente y de forma deliberada aplicaciones para realizar espionaje en grupos públicos de Facebook que promovían contenido a favor de los kurdos. Datos de un sitio de descargas indican al menos 1.481 descargas desde URL promocionadas en unas pocas publicaciones de Facebook.

“Reportamos estos perfiles a Facebook y todos han sido eliminados. Dos de los perfiles estaban dirigidos a usuarios de tecnología, mientras que los otros cuatro se hicieron pasar por partidarios kurdos”, explica el investigador de ESET Lukáš Štefanko, quien investigó esta campaña BladeHawk.

ESET reportó estos perfiles a Facebook y todos han sido eliminados. Dos de los perfiles estaban dirigidos a usuarios de tecnología, mientras que los otros cuatro se hicieron pasar perfiles partidarios kurdos.

Todos estos perfiles se crearon en 2020 y poco después de su creación comenzaron a distribuir estas aplicaciones falsas. Excepto una de las cuentas, las demás no han publicado ningún otro contenido que no sean los RAT para Android disfrazados de aplicaciones legítimas.

Estos perfiles también son responsables de compartir aplicaciones para espionaje en grupos públicos de Facebook, la mayoría de los cuales eran partidarios de Masoud Barzani, ex presidente de la región del Kurdistán. En total, los grupos apuntados tienen más de 11.000 seguidores.

El equipo de investigación de ESET identificó 28 publicaciones únicas de Facebook como parte de esta campaña BladeHawk. Cada una de estas publicaciones contenían descripciones de aplicaciones falsas y enlaces desde los cuales los investigadores pudieron descargar 17 APK únicos.

Algunos de los enlaces web de APK apuntaban directamente a la aplicación maliciosa, mientras que otros apuntaban al servicio de carga de terceros, que rastrea la cantidad de descargas de archivos. Las aplicaciones de espionaje se descargaron 1.418 veces.

La mayoría de las publicaciones maliciosas de Facebook condujeron a descargas del 888 RAT, que es capaz de ejecutar 42 comandos recibidos de su servidor de comando y control (C&C). Puede robar y eliminar archivos de un dispositivo, tomar capturas de pantalla, obtener la ubicación del dispositivo, suplantar credenciales de Facebook, obtener una lista de aplicaciones instaladas, robar fotos de usuarios, tomar fotos, grabar audio y llamadas telefónicas circundantes, hacer llamadas, robar mensajes SMS, robar la lista de contactos del dispositivo y enviar mensajes de texto.

Esta actividad de espionaje descubierta por ESET está directamente relacionada con dos casos revelados públicamente en 2020. En un caso, el QiAnXin Threat Intelligence Center nombró al grupo detrás de los ataques BladeHawk, que ESET adoptó. Ambas campañas se distribuyeron a través de Facebook, utilizando malware creado con herramientas comerciales automatizadas (888 RAT y SpyNote), con todas las muestras del malware utilizando los mismos servidores C&C.

Add a Comment