22 de octubre Noticias de Seguridad Global 

El gigante farmacéutico Pfizer ha estado filtrando datos médicos privados sobre los usuarios de medicamentos recetados de EE. UU. durante meses o incluso años debido al uso de cubos de Google Cloud no proteados.

Según el equipo de investigación de ciberseguridad de VpnMentor, los datos expuestos incluían registros de llamadas telefónicas e información de identificación personal (PII). Las víctimas incluyen personas que usan Lyrica, ayudas para dejar de fumar Chantix, Viagra, medicamentos menopáusicos Premarin y medicamentos contra el cáncer como Aronmasin, Depo-Medrol e Ibrace. Algunas de las transcripciones están relacionadas con conversaciones sobre Advil, una empresa conjunta entre Pfizer y GlaxoSmithKline.

"Inicialmente, sospechamos que los cubos mal configurados sólo estaban relacionados con una marca de medicamentos que estaba expuesta", explicaron los investigadores. Sin embargo, tras una investigación adicional, encontramos documentos y entradas relacionados con las diversas marcas de Pfizer. Eventualmente, nuestro equipo concluyó que el cubo probablemente pertenecía a la Agencia de Seguridad de Drogas (DSU, por sus datos) de la compañía. "

VPNMentor señala que la PII incluye nombre completo, dirección de casa, dirección de correo electrónico, número de teléfono y algunos detalles sobre condiciones médicas y de salud. Pero tal vez más de una preocupación son las transcripciones, que están relacionadas con el sistema automatizado de atención al cliente de Pfizer. La compañía capturó conversaciones con los clientes y llamó al servicio de atención al cliente de respuesta de voz interactiva (IVR) de la compañía para solicitar transcripciones suplementarias, efectos secundarios y más. "La carpeta que contiene transcripciones se llama 'actualización', lo que indica que forman parte de un proceso interno automatizado para gestionar las consultas y quejas de los clientes", dijo el programa del programa vpnMentor el martes. También revisamos la conversación y la "actualizamos" a un agente de atención al cliente humano. Los agentes parecen ser las enfermeras registradas de Pfizer en asuntos relacionados con la marca farmacéutica. "

En julio, los investigadores descubrieron un bucket abierto a Internet (no se requiere contraseña ni nombre de usuario). Después de varios intentos de contactar con la compañía, el cubo finalmente se hizo privado el 23 de septiembre. "Tardó dos meses, pero al final recibimos una respuesta de la compañía", dice VpnMentor. Cuando finalmente respondieron, recibimos la siguiente declaración: 'De la URL que proporcionó, no veo la importancia de los datos de Pfizer (o incluso ningún dato importante en absoluto). "Fue una reacción sorprendente de una de las empresas más grandes del mundo".

La compañía dijo que el bucket estaba protegido después de compartir archivos con muestras de datos de PII del cliente, pero vpnMentor no recibió más comunicaciones de Pfizer. Cuando Thereatpost se puso en contacto con el gigante farmacéutico, un portavoz dijo: "Pfizer es consciente de que una pequeña cantidad de registros de datos no-HIPAA en sistemas operados por proveedores puede estar disponible de manera poco probable para la retroalimentación sobre los medicamentos existentes. Nos tomamos muy en serio la privacidad y los comentarios de los productos. Con este fin, cuando nos damos cuenta de este incidente, nos aseguramos de que el vendedor corrija el problema y envía un aviso de cumplimiento de la ley aplicable a la persona. "

Los ciberdelincuentes pueden llevar a cabo una variedad de ataques si obtienen acceso a la información. No está claro cuánto tiempo el bucket se ha expuesto en total, o si hay un tipo malintencionado sumergido en él. Por un lado, los piratas informáticos pueden utilizar una combinación de PII y los detalles de las recetas médicas tomadas por el objetivo para llevar a cabo actividades de phishing convincentes. "Los hackers pueden engañar fácilmente a las víctimas al aparecer en el departamento de atención al cliente de Pfizer y citar conversaciones en transcripciones", explica el investigador de vpnMentor. Agregaron: "Por ejemplo, muchas personas están buscando transcripciones de recetas y otras consultas. Esta situación proporciona a los ciberdelincuentes la oportunidad de hacerse pasar por Pfizer y pedir detalles de la tarjeta para complementarlo. "

Un atacante también podría usar estos datos para engañar a otra información sobre un paciente, como su domicilio, y podría robar la identidad de la persona por completo de allí. Pueden secuestrar recetas o, en el peor de los casos, "destruir las finanzas de una persona y causar grandes dificultades a sus vidas personales". Luego está el lado del malware. Los enlaces malintencionados en mensajes de correo electrónico convincentes pueden hacer que el malware se ejecute en el dispositivo de un usuario, lo que puede dañar toda la red a la que está conectado el dispositivo.

Los investigadores de VpmMentor también señalaron las posibles implicaciones de seguridad física de dicha exposición. "Es probable que las personas expuestas en estas transcripciones estén física y emocionalmente mal", dijo el informe. Uno de los medicamentos citados, Lyrica, se utiliza para tratar trastornos de ansiedad, mientras que otros medicamentos, como Ibrace y Aronmasin, se utilizan para tratar el cáncer. En el momento de la violación de datos, el coronavirus todavía se estaba extendiendo por los Estados Unidos. Si los ciberdelincuentes de alguna manera logran robar o defraudar a alguien de una droga de ansiedad, el impacto potencial en su salud mental es inconmensurable y no se puede subestimar. "

Un análisis en septiembre encontró que las bases de datos en la nube que contenían información altamente confidencial estaban sobreexpuesto. La investigación de Comparitch muestra que el 6% de todos los buckets de Google Cloud están mal configurados y abiertos al público para que cualquier persona pueda acceder a su contenido. 2020 atrae la atención generalizada. La semana pasada, Broadvoice, un conocido proveedor de VoIP que atiende a pequeñas y medianas empresas, se encontró que había filtrado más de 350 millones de registros de clientes relacionados con el conjunto de comunicaciones basadas en la nube "b-hive" de la compañía.

En otros incidentes este otoño, se estima que 100.000 clientes de Razer, proveedores de dispositivos de juegos de alta gama, desde computadoras portátiles hasta ropa, expusieron su información privada a través de servidores Elasticsearch mal configurados. Además, el servidor Elasticsearch, que se encontró que estaba mal configurado por Mailfire, afectó a 70 sitios de citas y comercio electrónico y filtró PII y detalles como preferencias románticas. Además, NHS Wales anunció que la PII para los residentes galeses que dieron positivo para COVID-19 se había hecho pública a través de cargas en la nube pública.

Google ha lanzado chrome versión 86.0.4240.111, que incluye correcciones de seguridad para múltiples problemas, incluyendo parches para vulnerabilidades de día cero que se explotan activamente, seguido como CVE-2020-15999.

La vulnerabilidad CVE-2020-15999 es un error de corrupción de memoria que reside en la biblioteca de representación de fuentes FreeType y se incluye en la versión estándar de Chrome. Los hackers de sombrero blanco del equipo de Google Project Zero descubrieron el ataque que explotó la vulnerabilidad. Los investigadores no revelaron detalles técnicos sobre el uso de CVE-2020-15999 en la naturaleza para evitar el uso a gran escala por los que están amenazados.

Google Project Zero recomienda que otros equipos de desarrollo de aplicaciones que utilicen la misma biblioteca FreeType actualicen su software también. FreeType versión 2.10.4 soluciona este problema. Los usuarios de Chrome pueden actualizar su instalación a v86.0.4240.111 a través de la función de actualización integrada del navegador.

Los expertos señalan que debido a que los parches de día cero se pueden ver en el código fuente de la biblioteca de código abierto FreeType, los actores de amenazas podrán realizar ingeniería inversa del código y desarrollar exploits eficaces. En los últimos doce meses, Google ha abordado otras dos vulnerabilidades de día cero, CVE-2019-13720 (octubre de 2019) y CVE-2020-6418 (febrero de 2020).

Cisco advierte contra los ataques en las vulnerabilidades de alta gravedad CVE-2020-3118 que afectan a los routeres de clase portadora múltiple que ejecutan el software Cisco IOS XR. El defecto existe en la implementación del Cisco Discovery Protocol del software del Cisco IOS XR y puede permitir que un atacante vecino no autenticado ejecute el código arbitrario o haga el dispositivo afectado ser recargado.

"La vulnerabilidad se debe a la validación incorrecta de la entrada de cadena de algunos campos en el mensaje del Cisco Discovery Protocol. Un atacante podría explotar esta vulnerabilidad enviando paquetes de protocolo de detección de Cisco maliciosos a los dispositivos afectados. Los ataques correctos pueden hacer que un atacante desborde la pila, lo que podría permitir a un atacante ejecutar código arbitrario con privilegios administrativos en el dispositivo afectado. Los expertos de Cisco señalan que los atacantes vecinos no autorizados (adyacentes al nivel 2) que están en el mismo dominio de broadcast que los dispositivos vulnerables pueden explotar este defecto.

La Agencia de Seguridad Nacional (NSA) compartió las 25 principales vulnerabilidades en la vulnerabilidad, que fueron explotadas por grupos de hackers en ataques de campo. Varios routeres Cisco se ejecutan en el sistema operativo de red IOS XR, incluyendo los routeres NCS 540 560, NCS 5500, 8000, y ASR 9000 Series. La vulnerabilidad también afecta a los routeres de caja blanca de terceros y a los productos de Cisco que tienen el protocolo de detección de Cisco habilitado en al menos una interfaz y globalmente. Debajo de la lista de dispositivos afectados:

Routers del servicio de convergencia de las 9000 Series ASR

Sistema de enrutamiento de portadora (CRS)

IOS XRv 9000 Router

Routers de la serie 540 del sistema de fusión de red (NCS)

Routers de la serie 560 del sistema de fusión de red (NCS)

Routers de la serie 1000 del sistema de fusión de red (NCS)

Routers de la serie 5000 del sistema de fusión de red (NCS)

Routers de la serie 5500 del sistema de fusión de red (NCS)

Routers de la serie 6000 del sistema de fusión de red (NCS)

Cisco abordó la vulnerabilidad CVE-2020-3118 en febrero de 2020 y rastreó conjuntamente otros cuatro problemas graves bajo el nombre CDPwn. El aviso actualizado afirma: "En octubre de 2020, el equipo de respuesta a incidentes de seguridad del producto de Cisco (PSIRT) recibió un informe de un intento de explotar esta vulnerabilidad en la naturaleza. Cisco recomienda que los clientes actualizan a una versión fija del software del Cisco IOS XR para corregir esta vulnerabilidad. "

En la tabla siguiente se informa de una versión fija de esta vulnerabilidad:

Versión de software XR del Cisco IOS La primera versión fija de esta vulnerabilidad

Antes de 6.6 SMU apropiado

6.6 1 6.6.3 o SMU apropiada

7.0 7.0.2 (marzo de 2020) o SMU apropiada

7.1 No frágil

La recomendación incluye maneras de mitigar las vulnerabilidades, y la compañía recomienda deshabilitar los protocolos de detección de Cisco globalmente y deshabilitar a los clientes en las interfaces que pueden aplicar actualizaciones de seguridad inmediatamente.

Amazon, Apple, Netflix, Facebook y WhatsApp son las principales marcas utilizadas por los ciberdelincuentes en ataques de phishing y fraude. Facebook ha sido hasta ahora el sitio más popular para ataques de phishing, con investigaciones recientes que revelan 4,5 millones de intentos de phishing utilizando plataformas de medios sociales entre abril de 2020 y septiembre de 2020.

Después de Facebook, la aplicación de mensajería instantánea WhatsApp es la segunda plataforma más grande utilizada por los atacantes (3,7 millones de intentos de phishing), seguido de Amazon (3,3 millones de intentos), Apple (3,1 millones de intentos) y Netflix (2,7 millones de intentos).

Los productos de Google, incluidos YouTube, Gmail y Google Drive, ocuparon el sexto lugar con 1,5 millones de phishings, según un análisis publicado el martes por Kaspersky. En particular, los investigadores advierten que muchos servicios Web específicos también son frecuentemente accedidos en el trabajo por los empleados de pequeñas y medianas empresas, lo que puede suponer un riesgo para los datos corporativos sensibles.

"Sin diferentes servicios web, incluidas las redes sociales, las aplicaciones de Messenger y las plataformas de intercambio de archivos, no podemos imaginar nuestra vida diaria y nuestro trabajo", dijo la experta en seguridad de Kaspersky Tatyana Sidorina en un comunicado. "Sin embargo, es importante que cualquier organización entienda de dónde puede provenir la amenaza y qué medidas técnicas y de concienciación son necesarias para prevenirla". Las empresas también necesitan proporcionar a los empleados el uso cómodo de los servicios que necesitan, por lo que el equilibrio es fundamental. "

La increíble base de usuarios de Facebook (más de 2.700 millones de usuarios activos mensuales en el segundo trimestre de 2020) la convierte en una marca atractiva para los ciberdelincuentes. El gigante de las redes sociales tiene acceso a grandes cantidades de datos privados, como mensajes privados, que es otra razón por la que los atacantes están usando Facebook. De hecho, sólo esta semana, un informe reveló la campaña de phishing de Facebook, que afectó al menos a 450.000 víctimas. El ataque envió un enlace a los usuarios de Facebook a través de Facebook Messenger que parecía ser un video de YouTube. Sin embargo, cuando las víctimas hacen clic en el enlace, se redirigen a varios sitios, con el tiempo conduce a una página de phishing de Facebook. El atacante fue entonces capaz de recoger las credenciales de Facebook de la víctima.

A lo largo de los años, los antiguos ciberdelincuentes han dirigido a Facebook con nuevas y complicadas tácticas, incluyendo la reproducción de mensajes de inicio de sesión social en un "formato muy realista" dentro de bloques HTML, y han dirigido la plataforma de publicidad de Facebook durante años, extrayendo $4 millones en cuentas de anuncios de usuario. Facebook es también uno de los servicios más populares para los empleados, y Kaspersky descubrió que YouTube y Facebook son los dos servicios más importantes a los que los empleados de pymes acceden en los dispositivos de la empresa (seguidos de Google Drive, Gmail y WhatsApp). "Compartir muchos servicios a través de dos listas sólo confirma la tendencia de que las aplicaciones populares se conviertan en plataformas valiosas para el comportamiento malicioso por parte de los estafadores", dijeron los investigadores. "

Las plataformas de redes sociales, por otro lado, son las aplicaciones más bloqueadas de la compañía. Otras aplicaciones más bloqueadas incluyen Twitter, Pinterest, Instagram y LinkedIn. Los investigadores también señalan que los mensajeros, intercambio de archivos o servicios de correo a menudo no están bloqueados, "probablemente porque a menudo se utilizan para fines de trabajo y necesidades personales." Estos productos, incluidos Gmail y Google Drive de Google, a menudo siguen siendo utilizados por los ciberdelincuentes para ataques dirigidos. Un portavoz dijo que las estadísticas se obtuvieron entre abril y septiembre utilizando la red antivirus distribuida de Kaspersky, o KSN, y consistió en metadatos no personalizados proporcionados voluntariamente por los participantes de KSN entre los clientes de Kaspersky.

De cara al futuro, dicen los investigadores, las empresas deben vigilar de cerca las marcas populares emergentes - como aplicaciones de vídeo corto TikTok - con una gran base de usuarios, y los estafadores inevitablemente se bandanda a ataques de phishing y otros fines maliciosos. "Aunque las organizaciones pueden establecer diferentes prioridades y permisos para los que utilizan los empleados de los servicios web, es importante que las organizaciones comprendan todas las amenazas relevantes que pueden enfrentar y cómo penetrar en el punto final de la empresa", dijeron los investigadores. "Una vez que el servicio web se vuelve popular, es probable que se convierta en un objetivo más atractivo para los estafadores".

Los expertos dicen que el grupo de delincuentes cibernéticos Darkside, que dona $20,000 a la caridad a través de la campaña Robin Hood, puede estar diseñado para llamar la atención sobre futuros volcados de datos.

Darkside organizaciones ransomware difieren de sus contrapartes de ciberdelincuencia no en la innovación tecnológica, pero en el ataque de paneles corporativos.Ransomware de Darkside como empresaDelaEl último desarrollo es que la organización utilizó bitcoins robados para hacer una donación de hasta $20,000 a dos organizaciones benéficas internacionales, The Water Project y Children International, y luego anunció misteriosamente la noticia en un comunicado de prensa.

Chris Clements, de Cerberus Sentinel, dijo en un comunicado sobre la donación: "El alismo no es común entre las bandas de extorsión, por lo que es difícil expresar sus motivos en sus palabras". El Proyecto del Agua no respondió inmediatamente a las consultas de los medios de comunicación. Children's International dijo que el asunto estaba siendo investigado. Lauren Jurgens, de Children's International, respondió por correo electrónico: "Somos conscientes de esta situación y estamos llevando a cabo investigaciones internas. Si la donación está relacionada con los hackers, no tenemos intención de conservarla. "

Según la BBC, Darkside anunció el depósito el 13 de octubre a través de uno de sus "comunicados de prensa" corporativos publicados en el sitio web oscuro y donó 0,88 bitcoins ($10,000) en recibos de impuestos de donación a cada grupo. Clements añadió: "Lo más inquietante es que los ciberdelincuentes ganan mucho dinero con la extorsión y donan $20,000 es un gran cambio para ellos. "

Darkside ha pasado la mayor parte de su tiempo tratando de establecerse como un Robin Hood digital desinteresado. Es poco probable que las estrategias de relaciones públicas tengan un impacto significativo en la aplicación de la ley, y el sentimiento público no tiene nada que ver con la actividad criminal. "Como dijimos en nuestro primer comunicado de prensa, sólo nos dirigimos a grandes empresas rentables", escribió el grupo. "Creemos que es justo que parte del dinero que ya han pagado vaya a la caridad. No importa lo malo que creas que es nuestro trabajo, estamos felices de saber que ayudamos a cambiar la vida de alguien. "

Javad Malik, un defensor de la conciencia de seguridad en KnowBe4, dijo Thereatpost que no importa qué mensaje se envía, el objetivo del crimen ransomware sigue siendo el mismo: traer mejores resultados a las violaciones y robar más dinero. "Esta estrategia de robar a los pobres de los ricos no es tanto un cambio en la narrativa como un cambio en los modelos de negocio de estas organizaciones criminales", dijo. "Añadió que las empresas más grandes les están dando más de lo que quieren". Cuantos más sistemas se puedan poner en peligro, más datos se pueden robar y mayor será la presión pública sobre la organización, lo que significa más probabilidades de gastarse y ser más rentable. "

Digital Shadows ha estado rastreando Darkside desde su repentina aparición en agosto pasado, con un informe reciente que sugiere que su estrategia sigue un modelo típico ransomware. El objetivo que eligieron fue una excepción. En el informe, Stefano De Blasi, que tiene Digital Shadows, dijo que el grupo estaba tratando de diferenciarlo prometiendo no atacar a organizaciones como escuelas, hospitales o gobiernos y centrándose en cambio en las empresas basadas en los ingresos. Darkside utiliza ransomware personalizado para cada ataque, peinando los datos financieros de la empresa para averiguar lo que consideran apropiado, según Digital Shadows. Ransomware ejecuta el comando de PowerShell, que quita una instantánea del sistema. A continuación, DarkSide continúa terminando varias bases de datos, aplicaciones y clientes de correo en preparación para el cifrado. De Blasi escribió.

Un registro de rescate personalizado de Darkside se envía a la empresa comprometida, detallando el tipo de datos robados, la cantidad de fugas, y enlaces al sitio de filtración, que se publicará si no se cumple la demanda de rescate. El nombre de una banda criminal en los titulares es una manera de ayudar a garantizar que los datos publicados y robados reciban la mayor atención y, por lo tanto, el mayor daño al objetivo. "Ya sea que tengan éxito en romper las reglas o no, sólo el tiempo lo dirá", añade De Blasi. "Aunque el panorama de amenazas cibernéticas es impredecible y volátil, la tendencia es tendencia y seguiremos monitoreando de cerca a los ciberdelincuentes".

La mayoría de los investigadores no quedaron impresionados por las víctimas desinteresadas y cuidadosamente seleccionadas de Drakside. Katie Nickels, directora de inteligencia de Red Canary, dijo por correo electrónico: "El último esfuerzo de "donación" del operador ransomware fue sólo para elevar públicamente su perfil. "Cuando comenzó la pandemia, vimos a los operadores ransomware decir que no se dirigirían a los hospitales, pero sabemos que muchos de ellos lo hacen. Si los operadores ransomware realmente se preocupan por hacer del mundo un lugar mejor, dejarán de chantajear a las víctimas en lugar de hacer donaciones. "

El contenido de este artículo es publicado por medios extranjeros y no representa la posición y las vistas del Laboratorio Jufeng.