SEGURIDAD Y AUDITORIA DE SISTEMAS

Qué es Threat Hunting y qué modelos de ejecución existen de este proceso de búsqueda constante de actividades sospechosas en la red de una organización, y su posible vinculación con actores de maliciosos. Se conoce como Threat Hunting al proceso continuo e iterativo centrado en la capacidad analítica humana de buscar actividades anormales en los activos de la organización que podrían significar compromiso, intrusión o exfiltración de los datos de una organización. Este proceso, que parte de la idea de que el atacante ya obtuvo acceso a los sistemas de la organización, se realiza monitoreando la red y los distintos elementos que conforman la misma. Según un fragmento del libro “ Threat Intelligente and Data-Driven Threat Hunting ”, de Valentina Palacín, “ Realizando esta actividad de manera proactiva asumimos que el adversario ya se ha infiltrado en nuestra red y, por lo tanto, el trabajo del “cazador” es identificar la brecha lo antes posible para minimizar su impacto. Este proceso inv

  Upguard Research reveló   múltiples fugas de datos que exponen 38 millones de registros de datos a través de los   portales de  Microsoft Power Apps  mal configurados   para permitir el acceso público. Según la empresa, las filtraciones de datos afectaron a American Airlines, Microsoft, J.B. Hunt y los gobiernos de Indiana, Maryland y la ciudad de Nueva York. Los datos confidenciales, incluidos los estados de vacunación contra COVID-19, los números de seguridad social y las direcciones de correo electrónico, han sido expuestos debido a configuraciones predeterminadas débiles para Microsoft Power Apps. Upguard descubrió por primera vez el problema relacionado con la  OData  (Open Data Protocol) APIs para un portal de Power Apps el 24 de mayo y envió un informe de vulnerabilidad a Microsoft el 24 de junio. Según Upguard, el problema principal es que todos los tipos de datos eran públicos cuando algunos datos, como la información de identificación personal, deberían haber sido privados.

  El pasado día 12 de agosto la banda   El_Cometa   (antes   SynAck ) entregó sus   claves   de encriptado a   The Record . El analista de   malware   Michael Gillespie , de la empresa   Emsisoft , verificó su   autenticidad   y el día 19 de este mismo mes la empresa ha liberado una   herramienta para el desencriptado   de los archivos afectados. Hace pocos días publicábamos noticias similares sobre los   ramsonware   Prometheus   y   Conti . La banda  SynAck  empezó su actividad en el año 2017 y es una de las más antiguas aún en activo. La filtración de las claves se produce debido a que ahora se ha renombrado cómo  El_Cometa  y pretenden lanzar una nueva plataforma de  RaaS  (Ransomware como Servicio). La banda se diferenciaba de otras por demandar pagos por  email  o  BitMessage . Además ganó notoriedad por ser la primera en usar la técnica de  Doppelgänging . Esta está diseñada para  evadir  los software de seguridad tradicionales y  antivirus  en sistemas  Windows . Si bien nunca

  El usuario   Ralireza   ha publicado un conjunto de guías, herramientas, documentos, cursos, reseñas de seguridad para Android. Roadmap Labs Writeups Books Courses Tools Cheatsheet-Checklist Talks Misc Fuente: Seguinfo

  La empresa de seguridad taiwanesa   CyCraft ha lanzado una aplicación gratuita   que puede ayudar a las víctimas del   ransomware Prometheus   a recuperar y descifrar   algunos   de sus archivos. Analizamos un muestra reciente con hash:   dd4eb8aa3371b7fd821a7a9730c924cf , de la cual pudimos obtener algunos aspectos técnicos y detalles muy interesantes. Disponible en  GitHub , el descifrador funciona eficazmente mediante la fuerza bruta de la clave de cifrado utilizada para bloquear los datos de la víctima. "El ransomware  Prometheus  usa  Salsa20  con una contraseña aleatoria basada en tickcount para cifrar los archivos. El tamaño de la contraseña aleatoria es de 32 bytes y cada carácter es un carácter visible. Dado que la contraseña usa the tickcount como clave, podemos adivinarlo brutalmente" , escribieron los expertos de la compañía en una publicación de blog a principios de mes. El único inconveniente del descifrador de CyCraft es que solo puede manejar la clave de des

  Investigadores de ESET han descubierto y analizado un backdoor previamente indocumentado que se implementa como una extensión para Internet Information Services (IIS), el software del servidor web de Microsoft. Este backdoor, al cual hemos llamado IISpy, utiliza una variedad de trucos para interferir con el registro de los servidores y evadir la detección, con el fin de realizar tareas de espionaje durante largo plazo. Las soluciones de seguridad de ESET detectan IISpy como Win Win{32,64}/BadIIS. Esta publicación es la segunda entrega de una serie en la que los investigadores de ESET analizan detenidamente una serie de amenazas dirigidas al servidor web IIS. En la  entrega anterior  analizamos las características de un malware para IIS utilizado para el ciberdelito. Para obtener una guía completa sobre cómo detectar, analizar y eliminar el malware para IIS, consulte nuestro whitepaper  Anatomy of native IIS malware, en el cual IISpy aparece como una de las familias analizadas (Grupo