Archive

Archive for December 7, 2019

Brazil Court Says Delivery App Loggi Must Formalize Ties With Couriers by REUTERS

December 7, 2019 Leave a comment


By REUTERS

Brazilian delivery app Loggi must formalize work relationships with its motorbike drivers and pay charities 30 million reais as a fine for not previously contracting the workers, according to a Sao Paolo court ruling released on Friday.

Published: December 5, 2019 at 06:00PM

from NYT Technology https://ift.tt/2qscPKK
via IFTTT

Categories: Internet Tags: ,

ZeroCleare: un malware de borrado de datos de APT34 y xHunt

December 7, 2019 Leave a comment

ZeroCleare

Los investigadores de seguridad de IBM dieron a conocer hace algunos días que detectaron una nueva familia de malware llamada “ZeroCleare”, creado por un grupo de hackers iraníes APT34 junto con xHunt, este malware está dirigido contra los sectores industrial y energético en el Medio Oriente. Los investigadores no revelan los nombres de las compañías víctimas, pero dedicaron un análisis del malware a un informe detallado de 28 páginas.

ZeroCleare afecta solamente a Windows ya que como su nombre lo describe la ruta de la base de datos del programa (PDB) de su archivo binario se usa para ejecutar un ataque destructivo que sobrescribe el registro de arranque maestro (MBR) y las particiones en máquinas Windows comprometidas.

ZeroCleare se cataloga como una malware con un comportamiento algo similar al de “Shamoon” (un malware del cual se habló mucho debido a que se utilizó para ataques a las compañías petroleras que datan de 2012) Aunque Shamoon y ZeroCleare tienen capacidades y comportamientos similares, los investigadores dicen que los dos son piezas de malware separadas y distintas.

Al igual que el malware Shamoon, ZeroCleare también utiliza un controlador de disco duro legítimo llamado “RawDisk by ElDos”, para sobrescribir el registro de arranque maestro (MBR) y las particiones de disco de las computadoras específicas que ejecutan Windows.

Aunque el controlador ElDos no está firmado, el malware logra ejecutarlo cargando un controlador de VirtualBox vulnerable pero no firmado, explotándolo para omitir el mecanismo de verificación de firma y cargar el controlador ElDos sin firmar.

Este malware se lanza a través de ataques de fuerza bruta para obtener acceso a sistemas de red débilmente seguros. Una vez que los atacantes infectan el dispositivo objetivo, propagan el malware a través de la red de la compañía como el último paso de la infección.

“El limpiador ZeroCleare es parte de la etapa final del ataque general. Está diseñado para desplegar dos formas diferentes, adaptadas a sistemas de 32 bits y 64 bits.

El flujo general de eventos en máquinas de 64 bits incluye el uso de un controlador firmado vulnerable y luego explotarlo en el dispositivo de destino para permitir que ZeroCleare omita la capa de abstracción de hardware de Windows y evitar algunas salvaguardas del sistema operativo que evitan que los controladores no firmados se ejecuten en 64- máquinas de bits “, se lee en el informe de IBM.

El primer controlador de esta cadena se llama soy.exe y es una versión modificada del cargador de controladores Turla. 

si-zerocleareflow-chart

Ese controlador se utiliza para cargar una versión vulnerable del controlador VirtualBox, que los atacantes explotan para cargar el controlador EldoS RawDisk. RawDisk es una utilidad legítima utilizada para interactuar con archivos y particiones, y también fue utilizada por los atacantes de Shamoon para acceder al MBR.

Para obtener acceso al núcleo del dispositivo, ZeroCleare utiliza un controlador intencionalmente vulnerable y scripts maliciosos de PowerShell/Batch para evitar los controles de Windows. Al agregar estas tácticas, ZeroCleare se extendió a numerosos dispositivos en la red afectada, sembrando las semillas de un ataque destructivo que podría afectar a miles de dispositivos y causar interrupciones que podrían tomar meses para recuperarse por completo, ”

Aunque muchas de las campañas de APT que los investigadores exponen se centran en el ciberespionaje, algunos de los mismos grupos también realizan operaciones destructivas. Históricamente, muchas de estas operaciones han tenido lugar en el Medio Oriente y se han centrado en compañías de energía e instalaciones de producción, que son activos nacionales vitales.

Aunque los investigadores no han planteado en  un 100% los nombres de alguna organización a la que se le atribuya este malware, en una primera instancia comentaban que APT33 participó en la creación de ZeroCleare.

Y despues posteriormente IBM afirmó que APT33 y APT34 crearon ZeroCleare, pero poco después de la publicación del documento se actualizó, la atribución cambió a xHunt y APT34, y los investigadores admitieron que no tenían un cien por ciento de certeza.

Según los investigadores, los ataques ZeroCleare no son oportunistas y parecen ser operaciones dirigidas contra sectores y organizaciones específicos.

from Linux Adictos https://ift.tt/341lP7s
via IFTTT

Categories: Internet, Linux Tags: , ,

Ransomware at Colorado IT Provider Affects 100+ Dental Offices

December 7, 2019 Leave a comment

A Colorado company that specializes in providing IT services to dental offices suffered a ransomware attack this week that is disrupting operations for more than 100 dentistry practices, KrebsOnSecurity has learned.

Multiple sources affected say their IT provider, Englewood, Colo. based Complete Technology Solutions (CTS), was hacked, allowing a potent strain of ransomware known as “Sodinokibi” or “rEvil” to be installed on computers at more than 100 dentistry businesses that rely on the company for a range of services — including network security, data backup and voice-over-IP phone service.

Reached via phone Friday evening, CTS President Herb Miner declined to answer questions about the incident. When asked about reports of a ransomware attack on his company, Miner simply said it was not a good time and hung up.

The attack on CTS comes little more than two months after Sodinokibi hit Wisconsin-based dental IT provider PerCSoft, an intrusion that encrypted files for approximately 400 dental practices.

Thomas Terronez, CEO of Iowa-based Medix Dental, said he’s heard from several affected practices that the attackers are demanding $700,000 in bitcoin from some of the larger victims to receive a key that can unlock files encrypted by the ransomware.

Others reported a ransom demand in the tens of thousands of dollars. In previous ransomware attacks, the assailants appear to have priced their ransom demands based on the number of workstation and/or server endpoints within the victim organization. According to CTS, its clients typically have anywhere from 10 to 100 workstations.

Terronez said he’s spoken with multiple other practices that have been sidelined by the ransomware attack, and that some CTS clients had usable backups of their data available off-site, while others have been working with third party companies to independently negotiate and pay the ransom for their practice only.

Many of CTS’s customers took to posting about the attack on a private Facebook group for dentists, discussing steps they’ve taken or attempted to take to get their files back.

“I would recommend everyone reach out to their insurance provider,” said one dentist based in Denver. “I was told by CTS that I would have to pay the ransom to get my corrupted files back.”

“My experience has been very different,” said dental practitioner based in Las Vegas. “No help from my insurance. Still not working, great loss of income, patients are mad, staff even worse.”

Terronez said the dental industry in general has fairly atrocious security practices, and that relatively few offices are willing to spend what’s needed to fend off sophisticated attackers. He said it’s common to see servers that haven’t been patched for over a year, backups that haven’t run for a while, Windows Defender as only point of detection, non-segmented wireless networks, and the whole staff having administrator access to the computers — sometimes all using the same or simple passwords.

“A lot of these [practices] are forced into a price point on what they’re willing to spend,” said Terronez, whose company also offers IT services to dental providers. “The most important thing for these offices is how fast can you solve their problems, and not necessarily the security stuff behind the scenes until it really matters.”

from Krebs on Security https://ift.tt/2YqpuKK
via IFTTT

Este es el mejor adorno navideño que puedes poner en tu árbol si eres fan de Android

December 7, 2019 Leave a comment
Categories: Internet Tags: , ,

Comienza la votación sobre los sistemas de inicialización de Debian

December 7, 2019 Leave a comment

Debian init system

Hace ya algunos meses aquí en el blog compartimos la noticia sobre una discusión que se llevaron los desarrolladores de Debian si soportar múltiples sistemas de inicialización seria una opción. Dado que esto se derivó de un desacuerdo con respecto a la entrega del paquete elogind (si quieres leer la nota lo puedes hacer en este enlace).

Y pues bien ahora, se anunció el inicio de una votación general para los desarrolladores del proyecto para decidir sobre si el sistema soportara múltiples sistemas de inicialización, lo que determinará la política adicional del proyecto con respecto a la vinculación a systemd, soporte para sistemas de inicialización alternativos e interacción con distribuciones derivadas que no usan systemd.

Hace unos meses, después de problemas con la inclusión del paquete elogind (necesario para que GNOME funcione sin systemd) en la rama de prueba debido a un conflicto con libsystemd, el líder del proyecto Debian volvió a plantear la pregunta, ya que los desarrolladores no podían estar de acuerdo y su comunicación se convirtió en una confrontación y estancado

La votación actual permitirá aprobar una política en varios sistemas de inicialización y si el elemento que obliga a soportar sistemas alternativos gana, los mantenedores no podrán ignorar o retrasar tales problemas.

Después de discutir los tres puntos de votación propuestos originalmente por el líder del proyecto, el número de opciones se amplió a ocho.

Al votar, se permite seleccionar varios elementos a la vez con la clasificación de los elementos seleccionados por nivel de preferencia. Alrededor de mil desarrolladores que participan en mantenimiento de paquetes y soporte de infraestructura tienen derecho a votar.

Dentro de las opciones sugeridas, se establece:

  • El foco principal está en systemd. Brindar soporte para sistemas de inicialización alternativos no es una prioridad, pero se pueden incluir opcionalmente scripts de inicio para dichos sistemas en paquetes.
  • Soporte para una variedad de sistemas de inicialización y la capacidad de arrancar Debian con sistemas no sean systemd.
    Para iniciar los servicios, los paquetes deben incluir scripts de inicio.
  • Systemd sigue siendo preferible, pero la capacidad de mantener sistemas alternativos de inicialización permanece. Las tecnologías, como elogind, que le permiten ejecutar aplicaciones enlazadas al sistema en entornos alternativos, se consideran importantes. Los paquetes pueden incluir archivos init para sistemas alternativos.
  • Soporte para sistemas que no usan systemd, pero sin realizar cambios que impidan el desarrollo. Los desarrolladores aceptan soportar múltiples sistemas de inicialización en el futuro previsible, pero también consideran necesario trabajar para mejorar el soporte de systemd. El desarrollo y mantenimiento de soluciones específicas debe ser llevado a cabo por las comunidades interesadas en tales soluciones, pero otros mantenedores deben ayudar activamente y contribuir a resolver problemas cuando surja la necesidad.
  • Soporte para la portabilidad, sin realizar cambios que interfieran con el desarrollo. La portabilidad entre plataformas de hardware y pilas de software es una tarea importante y la integración de tecnologías alternativas es bienvenida, incluso si la visión del mundo de sus creadores difiere de una opinión común.
  • Transfiera el soporte para sistemas de inicialización múltiple a la categoría de obligatorio. Proporcionar la capacidad de ejecutar Debian con sistemas de inicialización distintos de systemd continúa marcando la diferencia en el proyecto. Cada paquete debe funcionar con manejadores pid1 que no sean systemd, a menos que el software incluido en el paquete esté diseñado para funcionar solo con systemd y no haya soporte para comenzar sin systemd (la ausencia de scripts de inicio no se considera solo para trabajar con systemd).
  • Soporte para portabilidad y múltiples implementaciones. Los principios generales son totalmente consistentes con el párrafo 5, pero con respecto a los sistemas systemd y de inicialización, no se hacen requisitos específicos ni se imponen obligaciones a los desarrolladores. Se alienta a los desarrolladores a tener en cuenta los intereses de los demás, hacer compromisos y encontrar soluciones comunes que sean satisfactorias para varias partes.

La votación durará hasta el 27 de diciembre inclusive, los resultados se anunciarán el 28 de diciembre. Si quieres conocer más al respecto, puedes consultar la publicación original en el siguiente enlace.

from Linux Adictos https://ift.tt/351mKGj
via IFTTT

Categories: Internet, Linux Tags: , ,

Por qué Google ha estado vendiendo su Pixel 4 junto a pizzas de Domino’s

December 7, 2019 Leave a comment
Categories: Internet Tags: , ,

El FBI recomienda eliminar FaceApp de nuestro smartphone así como cualquier aplicación de origen ruso

December 7, 2019 Leave a comment
Categories: Internet Tags: , ,