"La potencia del malware Chaos se debe a varios factores", escribieron los investigadores de Black Lotus Labs. "En primer lugar, está diseñado para funcionar en varias arquitecturas, incluyendo: ARM, Intel (i386), MIPS y PowerPC, además de los sistemas operativos Windows y Linux. En segundo lugar, a diferencia de las redes de bots de distribución de ransomware a gran escala, como Emotet, que aprovechan el spam para propagarse y crecer, Chaos se propaga a través de CVEs conocidos y forzados, así como de claves SSH robadas".
Comentarios
#7 Yo uso MsDOS en un ordenador que no tiene ni tarjeta de red y al que alimento por una batería totalmente aislada de la red eléctrica, y si quiero imprimir algo tengo una máquina de escribir al lado
#9 Jaque mate y fin del hilo.
#10 Todavía no. Yo tengo un ábaco.
#11 Hola, soy McGyver, tengo un clip.
#12 Menos lobos:
#14 Eso demuestra lo jodidamente complicados que son los coches modernos...
#15 Esa foto tiene más años que un bosque.
#17 No creo, sale el que se comió a McGyver
#15 O inútiles según se mire.
#14 Bueno, es un Audi A6 Allroad americano y aquellos coches eran un montonazo de mierda.
#14 Es que no llevaba un clip encima.
#14 Es que ahí era Jack O'neill con dos eles, experto en volar aviones (alienígenas y terrestres) y también meteoritos pero no en mecánica (la inteligente era Sam).
#12
#12 Todos los mensajes a partir de este los he leído con la musiquita de McGyver en la cabeza
#66 3 veces por lo que veo o leo .
#69 El puñetero menéame desde que lo actualizaron, que a veces envía varias veces, otras veces ninguna, hace tiempo que no me deja insertar emojis, etc...
#12 Todos los mensajes a partir de este los he leído con la musiquita de McGyver en la cabeza
#12 Todos los mensajes a partir de este los he leído con la musiquita de McGyver en la cabeza
#11 ¿Puedes poner tildes con tu ábaco? ¿Qué codificación de caracteres usas?
#28 Shift-JIS, es un ábaco gordote.
#29
#9 #10 Si usas MsDos seguramente uses un teclado mecánico.
https://keytap3.ggerganov.com/
#9 Al menos usarás el MSAV de antivirus por si acaso.
#13 tnt virus
#34 O el barrotes.
#63 tntvirus era un antivirus, Turbo Antivirus, con una UI estilo Turbo Vision.
#9 Yo leo noticias en el telexto y escribo con un bic cristal el folios (nada de DIN A4).
#16 ¿Bic naranja o bic cristal?
#9 usas monitor CRT? Eres vulnerable a replicar tu pantalla a distancia... (Hicimos una demo hace casi 20 años para gente de seguridad bancaria y se quedaron a cuadros jaja)
#22 ¡Cuenta cuenta! O algún link sobre el tema o nombre para buscarlo
#25 Phreaking Van Eck.
#25 se basa en los armónicos que genera, la señal.que se consigue normalmente es invertida y en blanco y negro pero ya sobra jaja, tienes proyectos sencillos para modular un midi pintando líneas blancas y lo sintonizas en una radio
#25 Igual te interesa esto sobre emanaciones electromagnéticas:
https://www.pandasecurity.com/es/mediacenter/seguridad/ciberataques-emanaciones-electromagneticas/
#25 Se suele conocer como TEMPEST, aunque el nombre correcto es el de Van Eck, como dice #23
#22 Hostia, yo no tengo mucha idea del tema, pero hace más de veinte años hablaba con un tipo Por IRC y hacían cosas de ese tipo. Debes de ser uno de los de la vieja época.
#46 hace 20 años casi coincide con la época en la que deje el irc así que supongo que sí jeje
#51 ¿te suena 29a?
#52 algo, te suena drk2010? (Pista es de bastantes años antes de 2010)
#59 Hola, estoy contestando las respuestas que tenía pendientes.
Ni pt*** idea, lo siento . ME parece que pensabas que el tipo del que hablaba era yo.
La persona con la que hablaba teníamos muchas otras en común y por eso lo conocí ( y 29a) , pero yo comparados con vosotros no pedo presumir de esos temas.
#71 Perdona he estado tiempo desconectado, leido y aclarado
#72 Pues seguimos sin entendernos
Mencioné todo esto porque un colega historiador está buscando a alguien que conozca la historia de Internet, por eso te añadí como amigo
#73 AAAAAAAAAAAAAAAAAAAAAAAAA coño!!! mira mi perfil.... desde cuando ando por aqui... ahora te pregunto esta mierda tiene mensajes privados de algun modo? y no, no estoy de coña
#74
Lo siento, no entiendo nada ¿?
Esoy con el móvil y no creo que pueda mirarlo luego... Si me lo cuentas de otro modo
#74 Joder, cómo me tocáis las narices con tanta tontería, o me lo cuentas o lo miro otro día, que no pudo con los cojones y todavía tango cosas por hacer y mañana madrugón
edit
En mi cuenta del 2006 no tengo ningún privado, así que....
#76 coño que el privado era para pasarte el correo y hablar tranquilamente
#77 Pues añade como amigo, si no no puedo pasarte el mail ¿?
#9 Pssss! No hay nada peor que esa falsa sensación de seguridad. Ojito con los ataques de interferencia de Van Eck y derivados...
#9 El único sistema seguro es el que está apagado, desconectado y desenchufado. Metido dentro de una caja fuerte, enterrado en el fondo del mar y custodiado por guardias bien armados y mejor pagados.
Aún así, yo no apostaría mi vida por el.
#9 ¿Dónde compras la cinta para que la máquina de escribir pinte? ¿La siguen vendiendo de dos colores?
#9 mi Spectrum se rie de todos ... Vaya r tape loading error
#9 Yo tengo un spectrum de los de teclado de goma, si lo pongo en la caseta de campo, conectado a una instalación fotovoltaica aislada, ¿podré jugar seguro o me podrán hackear los rusos y corromperme las partidas del Rebelstar?
#49 Estas perdido simplemente por haber descrito tu cerebro electrónico. Nunca más volverá a obedecerte.
#9 Deberías escribir a mano. No te puedes fiar de las máquinas.
#9 De la máquina de escribir pueden sacar tus huellas dactilares, yo no me fiaría del todo...
#54 Igual de un boli, lápiz y cualquier cosa que use las manos para escribir... Menos mal que Dios nos dio los guantes de látex
#61 Nada mejor que el látex para evitar infecciones...
Traducción automática:
Investigadores han revelado una pieza de malware multiplataforma nunca antes vista que ha infectado una amplia gama de dispositivos Linux y Windows, incluyendo pequeños routers de oficina, cajas FreeBSD y servidores de grandes empresas.
Black Lotus Labs, la rama de investigación de la empresa de seguridad Lumen, llama al malware Caos, una palabra que aparece repetidamente en los nombres de las funciones, los certificados y los nombres de los archivos que utiliza. Chaos surgió a más tardar el 16 de abril, cuando el primer grupo de servidores de control entró en funcionamiento. Desde junio hasta mediados de julio, los investigadores encontraron cientos de direcciones IP únicas que representaban dispositivos Chaos comprometidos. Los servidores utilizados para infectar nuevos dispositivos se han multiplicado en los últimos meses, pasando de 39 en mayo a 93 en agosto. Hasta el martes, el número ascendía a 111.
Black Lotus ha observado interacciones con estos servidores de preparación tanto en dispositivos Linux integrados como en servidores empresariales, incluido uno en Europa que albergaba una instancia de GitLab. Hay más de 100 muestras únicas en la naturaleza.
"La potencia del malware Chaos se debe a varios factores", escribieron los investigadores de Black Lotus Labs en una entrada del blog del miércoles por la mañana. "En primer lugar, está diseñado para funcionar en varias arquitecturas, incluyendo: ARM, Intel (i386), MIPS y PowerPC, además de los sistemas operativos Windows y Linux. En segundo lugar, a diferencia de las redes de bots de distribución de ransomware a gran escala, como Emotet, que aprovechan el spam para propagarse y crecer, Chaos se propaga a través de CVEs conocidos y forzados, así como de claves SSH robadas".
Los CVEs se refieren al mecanismo utilizado para rastrear vulnerabilidades específicas. El informe del miércoles sólo se refería a unas pocas, entre ellas las CVE-2017-17215 y CVE-2022-30525 que afectan a los cortafuegos vendidos por Huawei, y la CVE-2022-1388, una vulnerabilidad extremadamente grave en los equilibradores de carga, cortafuegos y equipos de inspección de red vendidos por F5. Las infecciones SSH que utilizan el forzamiento de contraseñas y el robo de claves también permiten que Chaos se propague de máquina a máquina dentro de una red infectada.
Chaos también tiene varias capacidades, incluyendo la enumeración de todos los dispositivos conectados a una red infectada, la ejecución de shells remotos que permiten a los atacantes ejecutar comandos, y la carga de módulos adicionales. Combinado con la capacidad de ejecutarse en una amplia gama de dispositivos, estas capacidades han llevado a Black Lotus Labs a sospechar que Chaos "es el trabajo de un actor cibercriminal que está cultivando una red de dispositivos infectados para aprovechar el acceso inicial, los ataques DDoS y la minería de criptomonedas", dijeron los investigadores de la compañía.
Black Lotus Labs cree que Chaos es una rama de Kaiji, un software de botnet para servidores AMD e i386 basados en Linux para realizar ataques DDoS. Desde su aparición, Chaos ha ganado una serie de nuevas características, incluyendo módulos para nuevas arquitecturas, la capacidad de ejecutarse en Windows y la capacidad de propagarse a través de la explotación de vulnerabilidades y la recolección de claves SSH.
Las direcciones IP infectadas indican que las infecciones de Chaos se concentran principalmente en Europa, con focos más pequeños en América del Norte y del Sur y Asia-Pacífico.
Los investigadores de Black Lotus Labs escribieron:
"Durante las primeras semanas de septiembre, nuestro emulador de host Chaos recibió múltiples comandos DDoS dirigidos a aproximadamente dos docenas de dominios o IP de organizaciones. Utilizando nuestra telemetría global, identificamos múltiples ataques DDoS que coinciden con el marco temporal, la IP y el puerto de los comandos de ataque que recibimos. Los tipos de ataque eran generalmente multivectoriales, aprovechando UDP y TCP/SYN a través de múltiples puertos, y a menudo aumentaban en volumen en el transcurso de varios días. Entre las entidades objetivo se encontraban los juegos, los servicios financieros y la tecnología, los medios de comunicación y el entretenimiento, y el alojamiento. Incluso observamos ataques dirigidos a proveedores de DDoS como servicio y a una bolsa de criptomonedas. En conjunto, los objetivos abarcaban EMEA, APAC y Norteamérica.
Una empresa de juegos fue objeto de un ataque mixto UDP, TCP y SYN a través del puerto 30120. Entre el 1 y el 5 de septiembre, la organización recibió una avalancha de tráfico superior a su volumen habitual. Un desglose del tráfico durante el período anterior y durante el período de ataque muestra una avalancha de tráfico enviado al puerto 30120 por aproximadamente 12.000 IPs distintas, aunque parte de ese tráfico puede ser indicativo de una suplantación de IP.
Algunos de los objetivos eran proveedores de DDoS como servicio. Uno de ellos se comercializa a sí mismo como un estresador de IP y un booter de primera clase que ofrece la posibilidad de eludir CAPTCHA y capacidades "únicas" de DDoS en la capa de transporte. A mediados de agosto, nuestra visibilidad reveló un aumento masivo del tráfico, aproximadamente cuatro veces superior al mayor volumen registrado en los 30 días anteriores. A esto le siguió el 1 de septiembre un pico aún mayor, de más de seis veces el volumen de tráfico normal".
Las dos cosas más importantes que la gente puede hacer para prevenir las infecciones del caos son mantener todos los routers, servidores y otros dispositivos totalmente actualizados y utilizar contraseñas fuertes y autenticación multifactor basada en FIDO2 siempre que sea posible. Un recordatorio para los propietarios de routers de pequeñas oficinas de todo el mundo: La mayoría del malware de los routers no sobrevive a un reinicio. Considere la posibilidad de reiniciar su dispositivo cada semana aproximadamente. Aquellos que utilicen SSH deberían utilizar siempre una clave criptográfica para la autenticación.
#1 "así como de claves SSH robadas"
Si te dan las puertas de casa para entrar no estás atacando nada, simplemente estás entrando... y da igual que puedas "mantener todos los routers, servidores y otros dispositivos totalmente actualizados y utilizar contraseñas fuertes". Para eso está la doble autentificación, pero en estos casos tampoco se aplica...
Y yo me pregunto, que pensará el cracker de turno cuando empieza a escribir un software así: "voy a dominar el mundo"
#2 Posiblemente esté pensando en cuánto falta para que acabe su jornada laboral, como el resto.
#2 Se pregunta cuanto le van a pagar por hacer la función que toca. Estos softwares no los hace una única persona, sino algo mucho más organizado.
#2 piensa en generar pasta y mucha
#2 "se van a cagar"
"Como molo"
#2 en ganar dinero, igual que tú
#2 pensará que ya no estamos en 1990 y que ahora todo esto está organizado y se cobra por encargo
#2 En follar, como todo el mundo
A mi no me preocupa, yo uso macOS.
#3 A mí plin, yo uso Harmony OS.
#5 no sabéis lo que es estar protegidos de verdad... Solaris sobre sparc ...
#7 Recuerdo Sun Microsystems, ahora es propiedad de Oracle.
#8 Eso sí es un virus y no el Chaos este
#5: ¿Pongo un antivirus al Arduino UNO?
#5 #3 Yo sigo con CP/M, me da lo mismo.
¿Estará ya aquí el cyber polygon?
#35 Lo sostengo.
Si sólo ha infectado cientos, la noticia es irrelevante.
#32 Habla de servidores. Puede que haya grandes empresas con internet caído.
Skynet se prepara.