El presidente del Comité de Inteligencia del Senado, Mark Warner (demócrata por Virginia), dijo que los nombres de seis registradores de dominios con sede en Estados Unidos han surgido a raíz del descubrimiento de una campaña masiva de desinformación rusa en línea. Exigen saber por qué. , en el mejor de los casos, es un intermediario negligente para la interferencia electoral.
Warner se unió la semana pasada a NameCheap, GoDaddy, Cloudflare y NewFold a raíz de la incautación por parte de la administración Biden de 32 dominios, muchos de ellos disfrazados de conocidas organizaciones de noticias occidentales, que se estaban utilizando para difundir propaganda prorrusa. Digital, NameSilo y Versign.
Todo esto es parte de una campaña rusa de desinformación de larga data conocida como “Doppelgänger”, que utiliza una vasta red de sitios de noticias falsos, portavoces falsos en las redes sociales y otros trucos para engañar a un estadounidense crédulo. Intenta engañar a la gente para que apoye Las políticas del presidente Putin. Mehta destacó todo el incidente en 2023, y sus informes también influyeron en el razonamiento de Warner.
Warner señaló que el informe del Departamento de Justicia sobre la incautación de estos 32 dominios el mes pasado incluye indicadores de que los seis registradores de dominios mencionados anteriormente estaban vendiendo sitios web a operadores dobles. Añadió que el informe Meta destaca múltiples formas en las que la industria de registro de dominios lo permitió. fraude. Estos incluyen ocultar información del registrador a investigadores de buena fe, ignorar imprecisiones en la información de registro y no mantener nombres de dominio que sean claramente intentos de usurpación.
Warner dijo que la información en la declaración jurada de incautación de dominio muestra que los agentes de desinformación rusos deberían “advertir[a las empresas]sobre el abuso de[sus]servicios, dada la extensa literatura de código abierto sobre la actividad de los doppelgänger”. usado”, dijo. ”
Este problema tampoco es nuevo. Warner dijo que el abuso de los servicios de registro de nombres de dominio continúa hoy y que “la indiferencia de la industria hacia el abuso ha sido bien documentada a lo largo de los años, lo que permite que se lleve a cabo actividad maliciosa… todo… Esto puede suceder porque partes maliciosas están utilizando el servicio”. “.
Y entonces se quitaron los guantes.
“Dado el continuo fracaso de su industria para abordar estos fraudes, creo que el Congreso puede necesitar evaluar remedios legislativos”, amenazó Warner. “Mientras tanto, su empresa debe tomar medidas inmediatas para abordar el continuo abuso de sus servicios por parte de influencias extranjeras encubiertas”.
Ninguno de los registradores identificados por Warner respondió a solicitudes de comentarios aparte de GoDaddy, que dice que abordará el abuso en línea, entre otras declaraciones repetitivas que las empresas suelen emitir después de tales acusaciones. Nos dijo que está invirtiendo importantes recursos en esto.
Vulnerabilidad crítica de la semana: ScienceLogic CVE
Quizás recuerde que el mes pasado la herramienta de monitoreo RackSpace quedó fuera de línea debido a un día cero. Lo que The Register averiguó se encontró en el software ScienceLogic SL1, pero en ese momento no había muchos detalles ni CVE. Aunque esto es así ahora, la cuestión sigue siendo un misterio.
CVE-2024-9537 se emitió para esta vulnerabilidad con una puntuación CVSS de 9,3, pero su descripción no nos ayuda a entender mucho.
“ScienceLogic SL1 se ve afectado por vulnerabilidades no especificadas que involucran componentes de terceros no especificados”, señaló el NIST en la descripción de la vulnerabilidad.
Hay parches disponibles y se han publicado correcciones para versiones anteriores de SL1, así que consígalos antes de convertirse en la próxima víctima.
Anuncio oficial: Change Healthcare La mayor vulneración de datos sanitarios de la historia
Aunque el incidente ocurrió en febrero, aún no estaba claro cuántas personas se vieron afectadas por el ataque de ransomware y la violación de datos. Pero ahora sabemos que alrededor de 100 millones de personas estuvieron involucradas en este incidente. Un tercio de la población estadounidense.
Eso convierte el incidente de Change en la mayor filtración de datos de atención médica en la historia de Estados Unidos.
Sabíamos que las cosas estaban a punto de empeorar cuando la empresa matriz de Change, UnitedHealth, dijo en abril que le preocupaba que la violación pudiera involucrar los registros de un “porcentaje significativo de personas en Estados Unidos, sin embargo, en un país de alrededor de 346 millones de personas”. , a 100 millones de personas les roban a menudo sus registros.
La violación también fue atroz: se robaron nombres, direcciones de correo electrónico, DoB, números de teléfono y otra información de identificación personal, junto con información de salud, datos bancarios, registros de facturación y más.
Surge una nueva variante de Qilin, más preocupante
Hablando de amenazas de ransomware dirigidas a la industria de la salud, el grupo que llevó a cabo ataques a los sistemas del NHS de Gran Bretaña durante el verano está de regreso con una nueva versión de su ransomware del mismo nombre.
Según la firma de protección contra ransomware Halcyon, la nueva variante Qilin.B presenta cifrado mejorado y una capa adicional de defensa de claves para evitar el descifrado por parte de cualquier persona que no sea la víctima que pagó. Se dice que en realidad fue descubierta.
Halcyon señala que Qilin.B actualmente admite AES-256-CTR para sistemas con capacidades AESNI, mientras mantiene Chacha20 para otras víctimas, con relleno OAEP. Señalé que también usa el cifrado RSA-4096. Es imposible capturar el valor de la semilla. ”
Por supuesto, los mismos trucos de evasión de defensa, interrupción de copias de seguridad, terminación de procesos y otros trucos que existían en versiones anteriores de Qilin todavía están presentes, lo que hace que este sea un trabajo desagradable. Como se señaló en informes anteriores sobre las actividades de Kirin, el grupo, que se cree que es ruso, utilizó una técnica común, una vulnerabilidad de día cero, para infiltrarse en los sistemas del NHS.
En otras palabras, piense en esto como un recordatorio semanal para parchear su sistema.
Maalox para Mallox: Decryptor ahora disponible en sus primeras variantes
Los fallos de cifrado en la variante del ransomware Mallox, también conocida como Fargo, llevaron a los investigadores de Avast a desarrollar una herramienta de descifrado gratuita con un problema: solo funcionará para las víctimas afectadas a partir de marzo de 2024. Pude hacerlo.
En una publicación de blog de Gen Digital, la empresa matriz de Avast, los investigadores dijeron que descubrieron una falla de cifrado en una versión de Mallox que circuló entre enero de 2023 y febrero de 2024, lo que hizo posibles ataques de rescate durante este período. Cualquiera que haya sido afectado por Ware es un. herramienta.
Las versiones de 64 y 32 bits están disponibles en la publicación del blog vinculada anteriormente. Esta es la segunda herramienta de descifrado de la familia Mallox de Avast.
“El ransomware Mallox se conocía anteriormente como ransomware TargetCompany y Avast lanzó una herramienta de descifrado para este ransomware en enero de 2022”, dijo la compañía. “Desde entonces, los esquemas criptográficos han evolucionado, pero sus creadores han cometido nuevos errores.”
Espero que sigan más decodificadores a medida que crean otros.
Sospechoso de la policía de delitos cibernéticos acusado en la investigación de Genesis Market
Las autoridades federales continúan revisando la información recuperada del zoco de datos robados Genesis Market después de su cierre el año pasado, y la investigación en curso ha llevado a cargos de agentes de policía sin escrúpulos.
El detective del Departamento de Policía de Buffalo, Terrence Michael Cizek, fue acusado la semana pasada de comprar casi 200 juegos de credenciales robadas entre marzo y julio de 2020 y de mentir sobre ellas durante una investigación del FBI. Durante el mismo período, también estuvo activo en UniCC, un sitio web oscuro utilizado para intercambiar datos de tarjetas de crédito robadas.
Elogiando los servicios de UniCC, Ciszek dice que grabará un vídeo contando a otros ciberdelincuentes “cómo anonimizó su identidad en Internet al comprar tarjetas de crédito robadas. Incluso hizo una jugada genial”. Quienes aceptaron su consejo, quizás pronunciado bajo el seudónimo de “Dr. Monster” bajo el cual el FBI lo acusó de operar, deberían reconsiderar su validez.
La policía de Buffalo le dijo a The Register que Cishek ha sido suspendido sin paga.
Cuando el FBI lo interrogó, Ciszek supuestamente negó haber comprado las credenciales robadas y, en cambio, trató de echarle la culpa a su sobrino. Suena como algo genial en todos los sentidos. ®
https://packetstormsecurity.com/news/view/36524/Senator-Accuses-Sloppy-Domain-Registrars-Of-Aiding-Russian-Disinfo-Campaigns.html
