ciberseguridad

¿Qué tienen en común los sitios web pirateados, las ofertas de trabajo falsas y el ransomware engañoso? Son una prueba de que los cibercriminales están encontrando formas más inteligentes y engañosas de explotar tanto los sistemas como a las personas.

Esta semana ha dejado algo en claro: ningún sistema, ninguna persona, ninguna organización está realmente fuera de los límites. Los atacantes son cada vez más inteligentes, más rápidos y más creativos, y utilizan todo tipo de herramientas, desde la confianza humana hasta fallas ocultas en la tecnología. La verdadera pregunta es: ¿estás preparado?

Cada ataque contiene una lección, y cada lección es una oportunidad para fortalecer tus defensas. Esto no es solo una noticia: es tu guía para mantenerte a salvo en un mundo donde las amenazas cibernéticas están en todas partes. Profundicemos.

Amenaza de la semana

Palo Alto Networks advierte de un día cero: una falla de ejecución de código remoto en la interfaz de administración del firewall PAN-OS de Palo Alto Networks es el día cero más reciente que se está explotando activamente . La compañía comenzó a advertir sobre posibles problemas de explotación el 8 de noviembre de 2024. Desde entonces, se ha confirmado que se ha utilizado como arma en ataques limitados para implementar un shell web. La vulnerabilidad crítica aún no tiene parches, lo que hace que sea aún más crucial que las organizaciones limiten el acceso a la interfaz de administración a direcciones IP confiables. El desarrollo se produce cuando tres fallas críticas diferentes en Palo Alto Networks Expedition (CVE-2024-5910, CVE-2024-9463 y CVE-2024-9465) también han visto intentos de explotación activos. Los detalles son escasos sobre quién los está explotando y la escala de los ataques.

Noticias principales

  • BrazenBamboo explota un fallo de seguridad no corregido de Fortinet: un actor de amenazas conocido como BrazenBamboo ha explotado un fallo de seguridad no resuelto en FortiClient para Windows de Fortinet para extraer credenciales de VPN como parte de un marco modular llamado DEEPDATA. Volexity describió a BrazenBamboo como el desarrollador de tres familias de malware distintas: DEEPDATA, DEEPPOST y LightSpy, y no necesariamente uno de los operadores que las utilizan. BlackBerry, que también detalló DEEPDATA, dijo que el actor APT41 vinculado a China lo ha utilizado.
  • Alrededor de 70.000 dominios secuestrados por el ataque Sitting Ducks: se ha descubierto que varios actores de amenazas aprovechan una técnica de ataque llamada Sitting Ducks para secuestrar dominios legítimos con el fin de utilizarlos en ataques de phishing y esquemas de fraude de inversión durante años. Sitting Ducks explota las configuraciones incorrectas en los ajustes del sistema de nombres de dominio (DNS) de un dominio web para tomar el control del mismo. De los casi 800.000 dominios vulnerables registrados en los últimos tres meses, aproximadamente el 9 % (70.000) han sido secuestrados posteriormente.
  • ¿Recibió una oferta de trabajo soñada en LinkedIn? Podrían ser piratas informáticos iraníes: el actor de amenazas iraní conocido como TA455 está atacando a los usuarios de LinkedIn con atractivas ofertas de trabajo destinadas a engañarlos para que ejecuten un malware basado en Windows llamado SnailResin . Se ha observado que los ataques apuntan a las industrias aeroespacial, de aviación y de defensa desde al menos septiembre de 2023. Curiosamente, las tácticas se superponen con las del notorio Lazarus Group con sede en Corea del Norte.
  • Se lanza el descifrador de ShrinkLocker: la empresa de ciberseguridad rumana Bitdefender ha lanzado un descifrador gratuito para ayudar a las víctimas a recuperar los datos cifrados mediante el ransomware ShrinkLocker. Identificado por primera vez a principios de este año, ShrinkLocker es conocido por su uso indebido de la utilidad BitLocker de Microsoft para cifrar archivos como parte de ataques de extorsión dirigidos a entidades en México, Indonesia y Jordania.

CVE de tendencia

Los recientes desarrollos en ciberseguridad han resaltado varias vulnerabilidades críticas, entre ellas: CVE-2024-10924, CVE-2024-10470 , CVE-2024-10979 , CVE-2024-9463, CVE-2024-9465 , CVE-2024-43451, CVE-2024-49039 , CVE-2024-8068, CVE-2024-8069 , CVE-2023-28649, CVE-2023-31241, CVE-2023-28386, CVE-2024-50381 , CVE-2024-7340 y CVE-2024-47574 . Estas fallas de seguridad son graves y podrían poner en riesgo tanto a las empresas como a los ciudadanos comunes. Para mantenerse a salvo, todos deben mantener actualizado su software, mejorar sus sistemas y estar constantemente atentos a las amenazas.

La vuelta al mundo cibernético

  • Las principales vulnerabilidades explotadas rutinariamente en 2023 reveladas: las agencias de ciberseguridad de las naciones de Five Eyes, Australia, Canadá, Nueva Zelanda, el Reino Unido y los EE. UU., han publicado la lista de las 15 principales vulnerabilidades que se ha observado que los actores de amenazas explotan rutinariamente en 2023. Esto incluye fallas de seguridad de Citrix NetScaler ( CVE-2023-3519 , CVE-2023-4966 ), Cisco ( CVE-2023-20198 , CVE-2023-20273 ), Fortinet ( CVE-2023-27997 ), Progress MOVEit Transfer ( CVE-2023-34362 ), Atlassian ( CVE-2023-22515 ), Apache Log4j ( CVE-2021-44228 ), Barracuda Networks ESG ( CVE-2023-2868 ), Zoho ManageEngine ( CVE-2022-47966 ), PaperCut MF/NG ( CVE-2023-27350 ), Microsoft Netlogon ( CVE-2020-1472 ), JetBrains TeamCity ( CVE-2023-42793 ), Microsoft Outlook ( CVE-2023-23397 ) y ownCloud ( CVE-2023-49103 ). «La explotación inicial más rutinaria de las vulnerabilidades de día cero representa la nueva normalidad que debería preocupar tanto a las organizaciones de usuarios finales como a los proveedores, ya que los actores maliciosos buscan infiltrarse en las redes», dijo el NCSC del Reino Unido. La divulgación coincidió con el anuncio de Google de que comenzará a emitir «CVE para vulnerabilidades críticas de Google Cloud , incluso cuando no requerimos la acción del cliente o la aplicación de parches» para aumentar la transparencia de las vulnerabilidades. También se produjo cuando el Programa CVE cumplió recientemente 25 años , con más de 400 Autoridades de Numeración CVE (CNA) y más de 240.000 identificadores CVE asignados a partir de octubre de 2024. El Instituto Nacional de Estándares y Tecnología de EE. UU. (NIST), por su parte, dijo que ahora tiene un «equipo completo de analistas a bordo, y estamos abordando todos los CVE entrantes a medida que se cargan en nuestro sistema» para abordar la acumulación de CVE que se acumuló a principios de este año calendario.
  • Ataque de día cero de GeoVision: una nueva falla de día cero en los dispositivos GeoVision al final de su vida útil ( CVE-2024-11120 , puntuación CVSS: 9,8), una vulnerabilidad de inyección de comandos previa a la autenticación, se está explotando para comprometerlos y alistarlos en una botnet Mirai para posibles ataques DDoS o de criptominería. «Observamos un exploit de día cero en la naturaleza utilizado por una botnet dirigida a dispositivos GeoVision EOL», dijo la Fundación Shadowserver . Se recomienda a los usuarios de GV-VS12, GV-VS11, GV-DSP_LPR_V3, GVLX 4 V2 y GVLX 4 V3 que los reemplacen.
  • El nuevo troyano bancario Silver Shifting Yak apunta a América Latina: Se ha observado que un nuevo troyano bancario basado en Windows llamado Silver Shifting Yak apunta a usuarios de América Latina con el objetivo de robar información de instituciones financieras como Banco Itaú, Banco do Brasil, Banco Bandresco, Foxbit y Mercado Pago Brasil, entre otras, así como credenciales utilizadas para acceder a portales de Microsoft como Outlook, Azure y Xbox. Se cree que las etapas iniciales de ataque del malware se inician mediante correos electrónicos de phishing que llevan a las víctimas a archivos .ZIP maliciosos alojados en sitios web falsos. El desarrollo se produce cuando el actor de amenazas conocido como Hive0147 ha comenzado a utilizar un nuevo descargador malicioso llamado Picanha para implementar el troyano bancario Mekotio . «Hive0147 también distribuye otros troyanos bancarios, como Banker.FN, también conocido como Coyote, y es probable que esté afiliado a varios otros grupos de delitos cibernéticos de América Latina que operan diferentes descargadores y troyanos bancarios para permitir el fraude bancario», dijo IBM X-Force .
  • La red Tor se enfrenta a un ataque de suplantación de IP: el Proyecto Tor dijo que la red de anonimato Tor fue el objetivo de un «ataque de suplantación de IP coordinado» a partir del 20 de octubre de 2024. El atacante «falsificó relés sin salida y otras IP relacionadas con Tor para activar informes de abuso destinados a interrumpir el Proyecto Tor y la red Tor», dijo el proyecto . «El origen de estos paquetes falsificados fue identificado y cerrado el 7 de noviembre de 2024». El Proyecto Tor dijo que el incidente no tuvo impacto en sus usuarios, pero dijo que desconectó temporalmente algunos relés. No está claro quién está detrás del ataque.
  • El FBI advierte sobre el envío fraudulento de solicitudes de datos policiales por parte de delincuentes: El FBI advierte que los piratas informáticos están obteniendo información privada de los usuarios de empresas tecnológicas con sede en Estados Unidos al comprometer las direcciones de correo electrónico de los gobiernos y la policía de Estados Unidos y otros países para enviar solicitudes de datos de «emergencia». En el pasado se ha informado sobre el abuso de solicitudes de datos de emergencia por parte de actores maliciosos como LAPSUS$ , pero esta es la primera vez que el FBI admite formalmente que el proceso legal está siendo explotado con fines delictivos. «Los ciberdelincuentes comprenden la necesidad de la urgencia y la utilizan a su favor para acortar el análisis necesario de la solicitud de datos de emergencia», afirmó la agencia.
  • Nuevas tendencias en ransomware: un actor de amenazas con motivaciones financieras conocido como Lunar Spider ha sido vinculado a una campaña de publicidad maliciosa dirigida a servicios financieros que emplea envenenamiento de SEO para distribuir el malware Latrodectus , que, a su vez, se utiliza para implementar el marco de post-explotación Brute Ratel C4 (BRc4). En esta campaña detectada en octubre de 2024, los usuarios que buscan contenido relacionado con impuestos en Bing son engañados para que descarguen un JavaScript ofuscado. Al ejecutarse, este script recupera un instalador de Windows (MSI) de un servidor remoto, que instala Brute Ratel. Luego, el kit de herramientas se conecta a los servidores de comando y control (C2) para obtener más instrucciones, lo que permite al atacante controlar el sistema infectado. Se cree que el objetivo final de los ataques es implementar ransomware en hosts comprometidos. Lunar Spider también es el desarrollador detrás de IcedID, lo que sugiere que el actor de amenazas continúa evolucionando su enfoque de implementación de malware para contrarrestar los esfuerzos de las fuerzas del orden. No se trata solo de Lunar Spider. Otra infame banda de ciberdelincuentes llamada Scattered Spider ha estado actuando como un agente de acceso inicial para la operación de ransomware RansomHub, empleando tácticas avanzadas de ingeniería social para obtener acceso privilegiado e implementar el cifrador para impactar un entorno ESXi crítico en solo seis horas». La revelación se produce cuando los ataques de ransomware, incluidos los dirigidos a los servicios en la nube , siguen siendo una amenaza persistente, incluso cuando el volumen de los incidentes está comenzando a experimentar una caída y hay una disminución constante en las tasas de pago de rescates . A pesar de la aparición de nuevas familias de ransomware como Frag , Interlock e Ymir , una de las tendencias notables en 2024 ha sido el surgimiento de actores de ransomware no afiliados , los llamados «lobos solitarios» que operan de forma independiente.

Conclusión

Eso es todo por las actualizaciones de ciberseguridad de esta semana. Las amenazas pueden parecer complicadas, pero protegerse no tiene por qué serlo. Comience por algo sencillo: mantenga sus sistemas actualizados, capacite a su equipo para detectar riesgos y siempre vuelva a verificar todo lo que parezca extraño.

La ciberseguridad no es solo algo que haces, es cómo piensas. Mantén la curiosidad, la cautela y la protección. Volveremos la semana que viene con más consejos y actualizaciones para que te mantengas a la vanguardia de las amenazas.

Fuente y redacción: thehackernews.com

Compartir