Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Zibersegurtasun berriak

Gure segurtasun-albiste zerbitzua erakunderen -Instituto Nacional de Ciberseguridad de España, S.A. (INCIBE) feed-ekin elikatzen da, horiekin dugun lankidetza-hitzarmen baten bidez.


Logo de incibe

Los servidores Windows RDP en el punto de mira de la botnet GoldBrute

Fecha de publicación: 06/06/2019

El investigador en ciberseguridad Renato Marinho, de Morphus Labs, ha descubierto una nueva botnet que emplea un ataque por fuerza bruta contra 1,5 millones de servidores públicos Windows RDP (Remote Desktop Protocol).

Esta campaña, bautizada como GoldBrute, comienza realizando un ataque por fuerza bruta contra un servidor RDP. Una vez conseguido el acceso despliega un malware basado en Java encargado de comunicarse con el único servidor de Comando y Control (CC). Las máquinas infectadas, tienen como primera tarea escanear la red y enviar al servidor de CC un listado de, al menos, 80 nuevos servidores RDP accesibles que puedan ser vulnerables. Después, comienza la fase de ataque por fuerza bruta en la que el malware recibe y ataca de manera continuada combinaciones de 'host usuario contraseña' contra los objetivos. En los casos de éxito, la maquina infectada devuelve las credenciales de acceso al servidor de CC.

Etiquetas: Botnet, Cibercrimen, Malware, Windows

Fuga de información en AMCA afecta a múltiples laboratorios médicos

Fecha de publicación: 03/06/2019

Varios laboratorios de pruebas han denunciado ser víctimas de una brecha se seguridad sufrida por AMCA (American Medical Collections Agency), una agencia estadounidense que actúa como gestor de cobros.

Las firmas afectadas, Quest Diagnostics, LabCorp y BioReference Laboratories, han reportado la fuga de información de datos de sus clientes debido a un acceso no autorizado. En concreto, han sido 12, 7,7 y 20 millones de usuarios cuya información ha sido expuesta respectivamente, entre la que se encuentran datos financieros, números del seguro social (Social Security Number, SSN) e información médica.

Jennifer Kaid, una portavoz de ACMA, ha declarado en un comunicado que están investigando el incidente a través de una empresa de análisis forense externa, han migrado sus servicios del portal web de pagos a un proveedor externo y han informado a las autoridades policiales de lo sucedido.

Etiquetas: Fuga de información, Incidente, Sanidad

Flipboard sufrió una brecha de seguridad durante 9 meses

Fecha de publicación: 28/05/2019

Flipboard ha publicado un comunicado en el que explica que ha identificado y solucionado un incidente de seguridad que ha afectado a los datos de sus usuarios. Indican que detectaron accesos no autorizados en algunas de sus bases de datos, las cuales contenían información de sus usuarios, y que la intrusión se produjo entre el 2 de junio de 2018 y el 23 de marzo de 2019, y los días 21 y 22 de abril de 2019.

Las bases de datos contenían información como: el nombre, nombre de usuario de Flipboard, contraseña cifrada mediante la técnica salted hashing y la dirección de correo electrónico.

Como medidas de seguridad, Flipboard ha restablecido todas las contraseñas de los usuarios, ha desconectado los tokens que servían para conectar a cuentas de terceros, y han eliminado tokens digitales donde lo han creído oportuno. También han implementado mejoras en las medidas de seguridad.

Etiquetas: Fuga de información, Incidente, Redes sociales

Miles de servidores MS-SQL y PHPMyAdmin infectados en la campaña Nansh0u

Fecha de publicación: 04/06/2019

Expertos de Guardicore Labs, una empresa de investigación en ciberseguridad, publicaron el pasado 29 de mayo un amplio informe, detallando una campaña de cryptojacking, denominada Nansh0u, que atacaba a servidores MS-SQL (Windows) y PHPMyAdmin.

Guardicore Labs, que detectó la campaña inicialmente en abril, cree que el malware habría infectado hasta 50.000 servidores. El ataque utilizado se basa en la técnica de fuerza bruta contra los servidores de acceso público mediante un escaneo de puertos. Posteriormente, se descarga y ejecuta una carga útil (payload) que instala un malware en servidores comprometidos para minar la criptomoneda TurtleCoin.

La compañía recomienda a las organizaciones que protejan sus activos con credenciales robustas y soluciones de segmentación de red.

Etiquetas: Cibercrimen, Criptomoneda, Malware

El sitio web Canva, víctima de una brecha de seguridad

Fecha de publicación: 24/05/2019

Canva, un sitio web de herramientas de diseño gráfico y composición de imágenes, ha sufrido una brecha de seguridad que ha expuesto datos de 139 millones de usuarios. La intrusión se detectó el 24 de mayo, pero al parecer el ciberdelincuente habría estado recopilando datos desde, al menos, el 17 de mayo.

Los datos recopilados por el atacante contenían información tanto de carácter personal, como privado, entre los que se encontraban: nombre de usuario, nombre real, correo electrónico, información de residencia y los hashes de las contraseñas de 61 millones de usuarios, aunque estos utilizan el algoritmo bcrypt. De algunos usuarios, también obtuvo los tokens de Google utilizados para registrarse sin necesidad de contraseña.

Canva ha indicado en un comunicado que se han puesto en contacto con los usuarios afectados y, aunque en principio aseguran que la contraseña es segura, recomiendan cambiarla.

Etiquetas: Fuga de información, Incidente

Subsanada una fuga de información en la web de la Alhambra

Fecha de publicación: 22/05/2019

Los datos personales y financieros de 4,5 millones de visitantes de la Alhambra y casi 1.000 agencias de viaje han quedado al descubierto por un fallo en la web oficial de reservas de entradas, que ha sido detectado por el grupo La9, vinculado a Anonymous, y afectaba a la página desde mediados de 2017.

El agujero de seguridad descubierto permitía que la web fuese vulnerable a tres modalidades diferentes de ataques de inyección SQL. Los datos de visitantes expuestos incluyen DNI, número de teléfono, correo electrónico, dirección postal y edad, entre otros. En cuanto a las agencias de viajes afectadas, se ha filtrado información relacionada con números de cuentas corrientes, IBAN y contraseñas de acceso al sistema en texto plano.

El proveedor tecnológico del sistema de reserva de entradas, una UTE (Unión Temporal de Empresas), ha publicado una nota de prensa en la que confirma el ataque y comunica que va a ser puesto en conocimiento de las FFCCSE y de la AEPD. Tras verificarlo, el fallo en la web de la Alhambra ha sido subsanado.

Etiquetas: Cibercrimen, Fuga de información, Incidente, Vulnerabilidad

Robo de información en la comunidad OGusers

Fecha de publicación: 17/05/2019

El investigador en ciberseguridad Brian Krebs ha informado del hackeo sufrido por la comunidad underground OGusers a manos de otro foro de similares características RaidForums. OGusers y RaidForums son foros en los que se comercia sin control con información procedente del hackeo de cuentas e intercambio de datos de tarjetas SIM (SIM swapping).

El administrador de OGusers, el usuario Ace, trató de ocultar el problema y reportó inicialmente un fallo en los discos duros, lo que supuestamente produjo la eliminación de mensajes privados y publicaciones, y explicó que tenía que restaurar la copia de seguridad de enero del año 2019.

Días después, RaidForums publicó la base de datos de OGusers en su foro, con información que incluye nombres de usuario, direcciones de correo electrónico, contraseñas (hasheadas con MD5), mensajes privados y direcciones IP de alrededor de 113.000 usuarios que hacían uso del foro para el acceso al comercio de datos sustraídos, evidenciando el peligro de este tipo de sitios de intercambio.

Etiquetas: Cibercrimen, Ciberespionaje, Fuga de información

G Suite de Google almacenó contraseñas en texto plano

Fecha de publicación: 21/05/2019

Google ha notificado a los usuarios y administradores de G Suite que había almacenado las contraseñas texto plano desde 2005, debido a un fallo en la consola de administración de la plataforma. G Suite, anteriormente denominada Google Apps, es una colección de herramientas de productividad y colaboración diseñadas para los usuarios corporativos.

La compañía ha aclarado que este fallo de seguridad, únicamente, ha afectado a los usuarios empresariales, por lo que los usuarios de la versión gratuita no se han visto afectados.

Las credenciales, según explica Google, permanecieron en sus servidores cifrados. Se ha solucionado el problema y no se ha encontrado ninguna prueba de uso indebido de las contraseñas afectadas.

Etiquetas: Aplicación, Cifrado, Google

Stack Overflow, víctima de una fuga de información

Fecha de publicación: 16/05/2019

Stack Overflow, punto de encuentro para desarrolladores orientado a la solución de consultas relacionadas con la industria de la programación, sufrió una intrusión y, a consecuencia de esto, una fuga de información.

La intrusión se originó el 5 de mayo tras el despliegue en el entorno de desarrollo de una compilación del sitio web. Esta compilación contenía un bug, el cual permitió al atacante obtener acceso al entorno de desarrollo y, desde este, escalar al entorno de producción.

El día 11 de mayo, el atacante se otorgó acceso privilegiado en el entorno de producción, y como consecuencia de esto, fue detectado y expulsado de los sistemas. Durante un periodo de seis días, el atacante se dedicó a explorar y recabar toda la información posible.

Tras una exhaustiva investigación de los sistemas, el equipo de Stack Overflow detectó que el atacante había sustraído información de 250 usuarios de la red pública, los cuales ya han sido notificados.

En el último comunicado proporcionado por Stack Overflow, enumeran las medidas tomadas para el bastionado del sitio web y la gestión del incidente.

Etiquetas: Fuga de información, Incidente

Europol y el Departamento de Justicia de EE.UU desmantelan una red internacional de cibercrimen

Fecha de publicación: 16/05/2019

Una operación internacional, coordinada entre el Departamento de Justicia de Estados Unidos y Europol, ha logrado desarticular una compleja red de cibercriminales.

Los delincuentes habrían obtenido una cantidad estimada de 100 millones de dólares de distintas cuentas bancarias, llegando a controlar los ordenadores de más de 41.000 víctimas, después de haberlos infectados con un malware denominado GozNym.

La operación ha identificado a 11 acusados, residentes en Rusia, Georgia, Ucrania, Moldavia y Bulgaria, de los cuales, 6 han sido detenidos y 5 permanecen bajo orden de busca y captura.

Etiquetas: Administración pública, Cibercrimen, Incidente, Malware, Sector bancario