Tag Seguridad Informatica

Los archivos PDF se han convertido en un formato comúnmente utilizado para compartir documentos debido a su versatilidad y capacidad para mantener el formato en diferentes dispositivos. Sin embargo, esta popularidad también los convierte en un objetivo atractivo para los ciberdelincuentes. Los archivos PDF pueden esconder peligros que van más allá de lo que la mayoría de las personas sospecha, ya que pueden contener malware diseñado para espiarte y comprometer tu seguridad. 

¿Por qué los archivos PDF son un objetivo?

Los archivos PDF son preferidos para compartir documentos importantes como contratos, facturas, y reportes debido a su capacidad de preservar el diseño y contenido original. Sin embargo, su estructura compleja permite la inclusión de scripts y enlaces, que pueden ser explotados por los atacantes para inyectar malware. Esta combinación de alta adopción y capacidad técnica hace que los archivos PDF sean un medio ideal para distribuir software malicioso.

Cómo los archivos PDF pueden contener malware

1. JavaScript Incrustado

Los archivos PDF pueden incluir scripts en JavaScript que se ejecutan automáticamente al abrir el documento. Los atacantes pueden aprovechar esta característica para incluir código malicioso que se ejecuta en el dispositivo de la víctima, descargando y ejecutando malware sin el conocimiento del usuario.

2. Enlaces Maliciosos

Los PDF pueden contener enlaces a sitios web. Los atacantes pueden incrustar enlaces a sitios maliciosos que, al ser clickeados, pueden descargar malware o dirigir al usuario a páginas de phishing diseñadas para robar información personal y financiera.

3. Explotación de Vulnerabilidades

Los lectores de PDF, como Adobe Acrobat, a menudo tienen vulnerabilidades que los atacantes pueden explotar para ejecutar código malicioso. Mantener estos programas actualizados es crucial para minimizar los riesgos.

4. Archivos Adjuntos

Los PDF pueden incluir otros archivos adjuntos que pueden ser ejecutables o contener scripts maliciosos. Al abrir estos adjuntos, el usuario puede activar inadvertidamente el malware.

Ejemplos de Ataques

• Phishing mediante PDF: Los atacantes envían documentos PDF que parecen legítimos, como facturas o documentos oficiales. Al abrir el archivo, el malware se instala en el sistema del usuario, permitiendo a los atacantes robar información sensible.
• Explotación de Zero-Day: Utilizan vulnerabilidades desconocidas en los lectores de PDF para ejecutar ataques antes de que las actualizaciones de seguridad estén disponibles.

Cómo protegerte de los archivos PDF maliciosos

1. Usa un Software de Lectura de PDF Confiable y Actualizado

Asegúrate de utilizar lectores de PDF de fuentes confiables y mantenerlos siempre actualizados. Las actualizaciones de software suelen incluir parches de seguridad para proteger contra nuevas vulnerabilidades.

2. Desactiva la Ejecución Automática de JavaScript

Muchos lectores de PDF permiten desactivar la ejecución automática de JavaScript. Esta configuración puede prevenir la ejecución de scripts maliciosos incluidos en los documentos.

3. Analiza los Archivos Antes de Abrirlos

Utiliza software antivirus para escanear los archivos PDF antes de abrirlos. Muchos programas antivirus pueden detectar y bloquear archivos sospechosos.

4. Cuidado con los Enlaces y Archivos Adjuntos

No hagas clic en enlaces ni abras archivos adjuntos en PDF a menos que estés absolutamente seguro de su origen y legitimidad. Verifica la autenticidad del remitente antes de interactuar con el contenido.

5. Educación y Conciencia

Mantente informado sobre las tácticas de ingeniería social que los atacantes utilizan para engañarte a abrir archivos PDF maliciosos. Educa a tus colegas y familiares sobre estos riesgos para crear un entorno más seguro.

Aunque los archivos PDF son una herramienta invaluable para compartir información, también pueden ser un vector para ataques maliciosos. Al comprender los riesgos y tomar medidas proactivas para protegerte, puedes minimizar la posibilidad de ser víctima de malware y espionaje. Siempre es mejor ser cauteloso y estar informado sobre las últimas amenazas y prácticas de seguridad para mantener tus datos y dispositivos seguros.

Fuente: www.somoslibres.org

En febrero solamente, más de 3400 usuarios en Argentina se infectaron con malware que roba información y más de 142 mil usuarios a nivel global.

En febrero aumentó la cantidad de víctimas de malware del tipo infostealer que tiene como objetivo robar información del equipo infectado y enviarlo a los cibercriminales. Este tipo de código maliciosos, conocido en inglés como Infostealer malware, suele ser distribuido en mercados clandestinos de la dark web por poco dinero para que otros actores maliciosos lo utilicen en sus campañas. Solo en Argentina se detectaron 3471 nuevos usuarios infectados con este tipo de malware en febrero de 2022, lo que representa un aumento de más de 2.000 usuarios con respecto a enero. En Brasil fueron 13.598 el número de usuarios afectados en febrero, lo que significa 2.560 víctimas más que el mes anterior.

La cifra a nivel global también aumentó, ya que en febrero se registró un aumento de más de 39 mil infecciones en comparación con los más de 104 mil usuarios infectados en enero. Según datos de la telemetría de ESET tan solo para una de las tantas variantes de RedLine en actividad que existe, en lo que va de 2022 se observa un aumento constante en la cantidad de detecciones y el pico máximo se está registrando en marzo.

Lectura relacionada: Más de 1.7 millones de credenciales de acceso a servicios públicos robadas con malware
Los datos fueron publicados por DarkTracer, un servicio de Inteligencia de amenazas que monitorea la actividad de la dark web que compartió la información a través de su cuenta de Twitter. Además, aseguran que más de 12.7 millones de credenciales de usuarios están siendo distribuidas en foros de la dark web.

Son varios los Infostealers en actividad. Entre los más populares está RedLine Stealer y Raccon Stealer, pero existen otros, como Vidar, Taurus o AZORult, por nombrar algunos más. En el caso de RedLine, según revelaron algunas fuentes en 2021, este malware en particular ha sido la principal fuente de credenciales robadas en los mercados clandestinos.

Como suele distribuirse este tipo de malware
La forma de distribución de estos códigos maliciosos es muy amplia. El año pasado este malware en particular ha estado siendo distribuido en campañas a través YouTube. Los cibercriminales colocaban enlaces maliciosos en la descripción de videos sobre cracks de software, cheats para videojuegos o criptomonedas, entre otras temáticas. Hace unos días investigadores detectaron una nueva campaña dirigida a gamers que distribuía RedLine a través de videos de YouTube relacionados al juego Valorant. Los actores de amenazas promovían un cheat para el juego a través de un enlace en la descripción que conducía a la descarga del infostealer.

Otra forma de distribuir este tipo de malware han sido los cracks de software. Este año se detectó una campaña distribuyendo RedLine que se hacía pasar por un falso instalador de Windows 11. Los cibercriminales crearon un sitio de apariencia similar al sitio oficial de Microsoft para engañar a los usuarios y que descarguen el falso instaldor. Algo similar reveló un usuario en Reddit que hizo una búsqueda en Google para descargar el editor de código Sublime Text y llegó a un sitio falso que alojaba Redline.

Además del robo de cookies, datos de tarjetas de crédito y otro tipo de información, este malware suele recolectar credenciales, ya sea de cuentas como de servicios, por ejemplo, VPN.

Investigadores revelaron hace algunos meses un caso de un usuario que trabajaba de manera remota y que fue infectado con RedLine. El malware robó las credenciales almacenadas en el gestor de contraseñas de un navegador basado en Chromium, lo que le permitió obtener las credenciales de la VPN que utilizaba para conectarse a la red de la compañía, lo que permitió que actores maliciosos comprometieran la red interna de la compañía unos meses después utilizando las credenciales de la VPN robadas.

Como recomendación final para los usuarios, activar siempre que sea posible la autenticación en dos pasos. De esta manera el atacante no podrá acceder a nuestras cuentas con la contraseña y el usuario, ya que necesitará también verificar su identidad con un código único que está en poder del usuario

Por último, recordar también utilizar contraseñas seguras, de ser posible frases como contraseña, utilizar un administrador de contraseñas confiable que permita crear y almacenar de manera ordenada contraseñas únicas para cada cuenta o servicio y de esta manera evitar la tentación de reutilizar las mismas credenciales o leves variaciones para acceder a otras cuentas.

Fuente: https://www.welivesecurity.com/

Al detectar tempranamente las señales de advertencia que indican que ha sido víctima de robo de identidad, podrá minimizar el impacto que esto puede tener para usted y su familia.

Todos pasamos cada vez más tiempo conectados. A modo de ejemplo, en comparación con 2019, en 2020 los adultos estadounidenses estuvieron una hora más por día realizando actividades digitales en todos sus dispositivos. A finales de este 2022 es posible que pasemos más de ocho horas al día en el mundo digital. Una consecuencia desafortunada de este cambio de comportamiento es que estamos compartiendo más que nunca nuestros datos personales y credenciales de inicio de sesión con las compañías con las que hacemos negocios. Y, a su vez, los ciberdelincuentes están robando datos de esas organizaciones, así como también lo hacen directamente de nosotros.

En Estados Unidos, por ejemplo, para el tercer trimestre de 2021 ya se habían reportado casi 1.300 infracciones de este tipo en 2021; más que en todo el 2020. Como resultado, cientos de millones de víctimas fueron declaradas en riesgo de robo de identidad. Entonces, ¿cómo saber si ha sido afectado por uno de estos incidentes? Detectando las señales de advertencia tempranas, hay maneras de minimizar el impacto sobre usted y su familia.

¿Cómo ocurre el robo de identidad?

Actualmente, el cibercrimen genera a nivel global costos anuales millonarios y consta de múltiples participantes que constituyen lo que se conoce como la industria del cibercrimen. Es poco probable que los delincuentes que llevaron adelante el robo de datos de una organización sean los mismos que intenten, por ejemplo, un fraude de identidad posterior. Por lo general, los datos robados se venden en foros en la dark web. Luego son comprados en masa y testeados por delincuentes dedicados al robo de identidad. De esta manera pueden vender los datos previamente probados en otra oportunidad o bien usarlos ellos mismos.

Dependiendo del tipo de datos de identidad, podrían utilizarse para:

• Secuestrar cuentas minoristas que tienen los datos precargados de las tarjetas y utilizar este acceso para completar transacciones fraudulentas
• Realizar pagos fraudulentos directamente (es decir, si los datos de la tarjeta fueron robados)
• Realizar ataques de ingeniería social al personal del banco/telecomunicaciones para que restablezca las cuentas y las pongan a cargo del estafador
• Sacar líneas de crédito a su nombre
• Cometer fraude a través del seguro de salud o el reembolso de impuestos

Señales que pueden advertir que hemos sido víctimas de robo de identidad

Dada la gran cantidad de posibles escenarios que pueden dar lugar al robo de identidad, vale la pena mantenerse alerta. Por supuesto, la mayor señal de advertencia de que sus datos de identidad podrían estar en peligro es si recibe un aviso de brecha de seguridad. No hace falta decir que debes leerlo cuidadosamente para comprender las posibles implicancias de la filtración.

Otros signos reveladores incluyen:

• Actividad inusual en los movimientos de su cuenta/tarjeta

Incluso pequeñas discrepancias a veces pueden ser indicadores de fraude, ya que los estafadores a menudo verifican la validez de las tarjetas robadas con compras que parecen inocuas antes de aumentar su actividad. Si algo no se ve bien, congele la tarjeta y/o la cuenta. Esto a menudo se puede hacer a través de su aplicación de banca móvil. Luego, comuníquese inmediatamente con su proveedor bancario.

• Sus cuentas online /teléfono dejan de funcionar

Si los atacantes obtienen sus credenciales de inicio de sesión, lo primero que harán es cambiar la contraseña para bloquear su acceso. Alternativamente, si han logrado engañar a su operador de telefonía móvil, harán que transfieran su número a un dispositivo bajo su control. Esto se conoce como SIM swapping y es particularmente peligroso, ya que significa que podrán interceptar cualquier código de acceso SMS de un solo uso que, a menudo, emplean los bancos para validar su identidad.

• Tener problemas para declarar impuestos

Otra estrategia común es utilizar los números del Seguro Social de la víctima y otros datos personales para declarar impuestos personales,  haciéndose pasar por la víctima. De esta forma, el atacante puede reclamar fraudulentamente cualquier reembolso de impuestos adeudado. Si descubre que no puede presentar sus impuestos, esta podría ser la razón.

• Hay un problema con su factura médica o reclamo

Si recibe una factura médica por servicios que nunca recibió, o intenta presentar un reclamo, pero es rechazado porque ya ha alcanzado el límite preasignado por su proveedor, es posible que haya sido víctima del robo de identidad. Tales estafas pueden resultar altamente lucrativas, especialmente en países con sistemas de salud privados.

• Llamado de los cobradores de deudas

Si alguien que robó su identidad generó una enorme factura en su tarjeta de crédito o una deuda similar a su nombre que luego desapareció, es solo cuestión de tiempo antes de que el prestamista le pida a una agencia de cobro que investigue.

Cómo mantenerse seguro en el futuro

Hay mucho que puede hacer usted para minimizar el impacto de una filtración de información si un atacante apuntó contra organizaciones con las cuales tiene algún tipo de relación. Pero hay algunos pasos preventivos que también puede tomar en caso de que los estafadores intenten atacarlo directamente.

Considere lo siguiente:

• Active la autenticación en dos pasos (2FA) en todas las cuentas en línea que tenga
• Utilice contraseñas seguras, largas y únicas para todas las cuentas y guárdelas en un gestor de contraseñas
• Asegúrese de tener una solución antimalware actualizada en todos sus dispositivos y que sea de un proveedor de buena reputación
• Lea sobre el robo de identidad y la protección
• Active regularmente las actualizaciones automáticas para todos los dispositivos así instala los parches de seguridad
• Evite las tiendas de aplicaciones no oficiales
• Evite iniciar sesión en sus cuentas si está conectado a una red Wi-Fi pública
• Utilice solamente sitios web HTTPS (con candado verde)
• Destruya documentos antiguos para que no se muestren datos personales
• Minimice la cantidad de información que comparte con las empresas en línea

Es probable que todos experimentemos alguna forma de robo de identidad en nuestra vida. La clave es hacer todo lo posible para minimizar las posibilidades de que esto suceda y para mantenerse alerta, de modo que, si los delincuentes se apoderan de sus datos, pueda acabar con cualquier estafa lo antes posible.

Fuente: https://www.welivesecurity.com/

Resulta bastante obvio a esta altura decir que el ransomware resulta atractivo para cibercriminales que encuentran en este negocio un modelo redituable en términos económicos. El crecimiento que ha tenido esta amenaza la ha convertido en una de las principales, afectando a compañías de todas las industrias, organismos gubernamentales, instituciones educativas, hospitales, etc., y solicitando a las víctimas montos cada vez más elevados por el pago de los rescates.

Luego de que el ransomware Maze a fines de 2019 implementara por primera vez el doxing como segunda modalidad extorsiva, otras bandas criminales adoptaron con gran rapidez esta estrategia a la dinámica  de sus ataques. El objetivo de esto es claro: presionar aún más a las víctimas para que paguen los rescates, ya que al hacerlo también evitarán que se exponga el nombre de la empresa y sobre todo que se libere para su descarga la información robada. Para llevar adelante esta dinámica, los grupos comenzaron a crear sitios, en su mayoría dentro de la red Tor.

Generalmente, los atacantes primero exponen el nombre de la empresa u organización víctima y unos pocos archivos para descargar como prueba de la intrusión. Luego suelen indicar una fecha en la que publicarán toda la información robada si no llegan a un acuerdo para negociar el pago del rescate. Si la víctima decide no pagar, los criminales probablemente publiquen la totalidad de la información robada o la vendan.

Más allá del daño a la reputación y a la imagen —además de posibles consecuencias legales— que representa para las compañías y organizaciones aparecer en uno de estos sitios que operan los grupos de ransomware, un caso que dejó claro el valor de la información robada para los grupos de ransomeware fue el ataque del ransomware Conti al servicio de salud público de Irlanda (HSE, por sus siglas en inglés) en mayo de 2021.

En esa oportuniodad los cibercriminales solicitaron en un primer momento 20 millones de dólares en bitcoin para que la entidad pueda recuperar los arhivos del cifrado y también evitar la circulación de la información robada, pero finalmente entregaron un descifrador de forma gratuita para que puedan recuperar los equipos afectados, aparentemente por tratarse de un organismo dedicado a la salud. Sin embargo, los criminales comunicaron que esto no evitaría que publiquen la información o que incluso la vendan.

Esta práctica del doxing, que se consolidó como tendencia en los primeros meses de 2020 con unos pocos grupos que la adoptaron, tiene hoy al menos 41 sitios activos creados por grupos de ransomware para publicar los nombres y la información sustraida de los sistemas de las victimas, cada uno de los cuales representa a una familia distinta en actividad.

En septiembre de 2021 se registran 41 familias de ransomware operativas de acuerdo a la actividad en el sitio que utilizan para publicar la información de las víctimas.

Atomsilo: nuevo ransomware que apareció en septiembre

La constante aparición de nuevas familias de ransomware que luchan por un lugar en una escena cada vez más saturada nos dan la pauta del crecimiento que ha tenido esta amenaza. Una de estas nuevas apariciones es la del ransomware Atomsilo, que surgió en la darknet a mediados de septiembre de 2021 con un sitio muy similar al del ransomware Blackmatter, tanto en la estética como en los textos que se despliegan en el sito —en algunos casos son copias exactas.

Sitio en la red Tor del nuevo ransomware Atomsilo

El sitio de Atomsilo contiene el nombre de lo que aparentemente el grupo asegura es su primera víctima: una compañía farmacéutica de Brasil llamada Cristália. Vale la pena mencionar que la compañía publicó en su sitio web que el pasado 9 de septiembre sufrió un ataque informático que afectó a sus sistemas y operaciones, aunque no confirmó que se trate de un ransomware. Sin embargo, la aparición del sitio en la red Tor parece haber sido días posterioes al incidente.

Los cibercriminales afirman haber robado 900Gb de información y publicaron nombres completos, números de CNP, direcciones particulares, números de teléfono, imágenes de documentos, entre otra información.

Sitio del nuevo ransomware Atomsilo publica lo que según ellos sería la primera víctima.

Otro de los grupos de ransomware que ha demostrado una importante actividad en América Latina en el último tiempo es Lockbit 2.0. Esta banda, que hace poco aseguró haber sido el responsable del ataque a la compañía Accenture, publicó en septiembre el nombre de cinco víctimas de América Latina; una compañía de México y cuatro de Brasil. Las víctimas van desde organismos gubernamentales, hoteles, compañías del sector de la construcción, hasta estudios de abogados.

Fuente: www.welivesecurity.com