La semana pasada estuvo repleta de acontecimientos inquietantes en el mundo de la ciberseguridad. Desde ataques silenciosos pero serios a herramientas comerciales populares hasta fallas inesperadas que acechan en dispositivos cotidianos, hay muchas cosas que podrían haber pasado desapercibidas. Los atacantes están adaptando viejos trucos, descubriendo otros nuevos y apuntando a sistemas tanto grandes como pequeños.
Mientras tanto, las fuerzas del orden han obtenido victorias contra algunos mercados en línea turbios, y los gigantes tecnológicos se apresuran a solucionar los problemas antes de que se conviertan en una crisis en toda regla.
Si ha estado demasiado ocupado para realizar un seguimiento, ahora es el momento perfecto para ponerse al día con lo que se haya perdido.
⚡ Amenaza de la semana
La vulnerabilidad de Cleo es objeto de explotación activa: Los ciberdelincuentes han explotado activamente una vulnerabilidad crítica (CVE-2024-50623) en el software de transferencia de archivos de Cleo (Harmony, VLTrader y LexiCom), creando importantes riesgos de seguridad para organizaciones de todo el mundo. La falla permite a los atacantes ejecutar código de forma remota sin autorización aprovechando una función de carga de archivos sin restricciones. Empresas de ciberseguridad como Huntress y Rapid7 observaron una explotación masiva a partir del 3 de diciembre de 2024, donde los atacantes utilizaron comandos PowerShell y herramientas basadas en Java para comprometer los sistemas, lo que afectó a más de 1300 instancias expuestas en todas las industrias. Se sospecha que el grupo de ransomware Termite está involucrado en estos ataques, ya que utiliza malware avanzado similar a tácticas vistas anteriormente en el grupo de ransomware Cl0p.
7 razones para realizar copias de seguridad de Microsoft 365
Hay siete razones fundamentales para proteger sus datos de Microsoft 365: ¿las conoce todas? Echa un vistazo a esta infografía para verlos todos.
Leer ahora
🔔 Noticias destacadas
- Hackers iraníes implementan nuevo malware IOCONTROL: Los actores de amenazas afiliados a Irán han sido vinculados a un nuevo malware personalizado llamado IOCONTROL que está diseñado para atacar entornos de IoT y tecnología operativa (OT) en Israel y Estados Unidos. Es capaz de ejecutar comandos arbitrarios del sistema operativo, escanear un rango de IP en un puerto específico y eliminarse a sí mismo. IOCONTROL se ha utilizado para atacar dispositivos IoT y SCADA de varios tipos, incluidas cámaras IP, enrutadores, PLC, HMI, firewalls y más de diferentes proveedores como Baicells, D-Link, Hikvision, Red Lion, Orpak, Phoenix Contact, Teltonika, y Unitrónica.
- Las operaciones policiales derriban varios servicios criminales — Una serie de operaciones policiales en todo el mundo han llevado al cierre del mercado Rydox y de 27 sitios que vendían servicios de ataques distribuidos de denegación de servicio (DDoS) a otros actores criminales. En un acontecimiento relacionado, las autoridades de Alemania anunciaron que interrumpieron una operación de malware llamada BADBOX que venía precargada en al menos 30.000 dispositivos conectados a Internet vendidos en todo el país.
- Estados Unidos acusa a un hacker chino por ataques al firewall de Sophos – El gobierno de EE. UU. reveló el martes cargos contra el ciudadano chino Guan Tianfeng (también conocido como gbigmao y gxiaomao) por supuestamente irrumpir en miles de dispositivos de firewall de Sophos en todo el mundo en abril de 2020. Guan ha sido acusado de desarrollar y probar una vulnerabilidad de seguridad de día cero (CVE- 2020-12271) utilizado para realizar ataques contra los firewalls de Sophos. Se estima que el exploit se utilizó para infiltrarse en unos 81.000 cortafuegos.
- Nueva técnica de ataque aprovecha la automatización de la interfaz de usuario de Windows (UIA) para evitar la detección — Una nueva investigación ha descubierto que es posible que el malware instalado en un dispositivo aproveche un marco de accesibilidad de Windows llamado UI Automation (UIA) para realizar una amplia gama de actividades maliciosas sin alertar a las soluciones de detección y respuesta de puntos finales (EDR). Para que este ataque funcione, todo lo que un adversario necesita hacer es convencer a un usuario para que ejecute un programa que utilice UI Automation. Esto puede luego allanar el camino para la ejecución de comandos, lo que lleva al robo de datos y ataques de phishing.
- Nuevo software espía vinculado a las oficinas de policía chinas — Es probable que los departamentos de policía chinos estén utilizando un novedoso programa de software de vigilancia denominado EagleMsgSpy como una herramienta de interceptación legal para recopilar una amplia gama de información de dispositivos móviles desde al menos 2017. Si bien hasta la fecha solo se han descubierto versiones de la herramienta para Android, es Se cree que también existe una variante de iOS. La instalación parece requerir acceso físico a un dispositivo de destino para activar la operación de recopilación de información.
- Nuevo rootkit PUMAKIT detectado en la naturaleza — Actores de amenazas desconocidos están utilizando un sofisticado rootkit de Linux llamado PUMAKIT que utiliza mecanismos sigilosos avanzados para ocultar su presencia y mantener la comunicación con los servidores de comando y control. Está equipado para aumentar privilegios, ocultar archivos y directorios y ocultarse de las herramientas del sistema, al mismo tiempo que evade la detección.
️🔥 CVE de tendencia
¡Aviso! Algunos programas populares tienen graves fallos de seguridad, así que asegúrese de actualizarlos ahora para mantenerse a salvo. La lista incluye: CVE-2024-11639 (Ivanti CSA), CVE-2024-49138 (controlador CLFS de Windows), CVE-2024-44131 (Apple macOS), CVE-2024-54143 (OpenWrt), CVE-2024-11972 ( Complemento Hunk Companion), CVE-2024-11205 (WPForms), CVE-2024-12254 (Python), CVE-2024-53677 (Apache Struts), CVE-2024-23474 (SolarWinds Access Rights Manager), CVE-2024-43153, CVE-2024-43234 (tema Woffice) , CVE-2024-43222 (tema Sweet Date), JS Help Desk (complemento JS Help Desk), CVE-2024-54292 (complemento Appsplate), CVE-2024-47578 (Adobe Document Service), CVE-2024-54032 (Adobe Connect), CVE-2024 -53552 (CrushFTP), CVE-2024-55884 (Mullvad VPN) y CVE-2024-28025, CVE-2024-28026, CVE-2024-28027, CVE-2024-21786 (enrutador MC-LR de MC Technologies), CVE-2024-21855, CVE-2024-28892 y CVE-2024-29224 (GoCast).
📰 Alrededor del mundo cibernético
- Apple enfrenta una demanda por supuestas fallas en la detección de CSAM — Apple se enfrenta a una propuesta de demanda colectiva por valor de 1.200 millones de dólares que acusa a la empresa de supuestamente no detectar ni denunciar la pornografía infantil ilegal. En agosto de 2021, Apple presentó una nueva función en forma de una herramienta de escaneo de fotografías de iCloud que preserva la privacidad para detectar material de abuso sexual infantil (CSAM) en la plataforma. Sin embargo, el proyecto resultó ser controvertido, y grupos de privacidad e investigadores expresaron su preocupación de que dicha herramienta pudiera ser un terreno resbaladizo y que se pudiera abusar de ella y explotarla para comprometer la privacidad y seguridad de todos los usuarios de iCloud. Todo esto llevó a Apple a cancelar oficialmente el esfuerzo en diciembre de 2022. “Escanear los datos de iCloud almacenados de forma privada de cada usuario crearía nuevos vectores de amenazas para que los ladrones de datos los encuentren y exploten”, dijo en ese momento. “La búsqueda de un tipo de contenido, por ejemplo, abre la puerta a la vigilancia masiva y podría crear el deseo de buscar otros sistemas de mensajería cifrada en todos los tipos de contenido”. En respuesta a la demanda, Apple dijo que está trabajando para combatir estos delitos sin sacrificar la privacidad y seguridad del usuario a través de funciones como Communication Safety, que advierte a los niños cuando reciben o intentan enviar contenido que contiene desnudos.
- Los actores de amenazas aprovechan la vulnerabilidad de Apache ActiveMQ – Los actores de amenazas están explotando activamente una falla de seguridad conocida en Apache ActiveMQ (CVE-2023-46604) en ataques dirigidos a Corea del Sur para entregar varios malware como mineros de criptomonedas, una RAT de código abierto llamada Quasar RAT, Fast Reverse Proxy (FRP), y un ransomware de código abierto llamado Mauri. “Los administradores de sistemas deben verificar si su servicio Apache ActiveMQ actual es una de las versiones susceptibles a continuación y aplicar los parches más recientes para evitar ataques que exploten vulnerabilidades conocidas”, dijo AhnLab.
- Citrix advierte sobre ataques de pulverización de contraseñas en NetScaler/NetScaler Gateway – Citrix ha advertido que sus dispositivos NetScaler son el objetivo de ataques de pulverización de contraseñas como parte de campañas más amplias observadas en varios productos y plataformas. “Estos ataques se caracterizan por un aumento repentino y significativo en los intentos y fallas de autenticación, que activan alertas en todos los sistemas de monitoreo, incluidos Gateway Insights y registros de Active Directory”, dijo la compañía, agregando que podrían resultar en registros excesivos, sobrecarga de CPU de administración y inestabilidad del aparato. Se recomienda a las organizaciones habilitar la autenticación multifactor para Gateway y crear políticas de respuesta para bloquear ciertos puntos finales y utilizar un firewall de aplicaciones web (WAF) para bloquear direcciones IP sospechosas.
- BadRAM depende de equipos de $10 para romper la seguridad de AMD — Investigadores académicos de KU Leuven, la Universidad de Lübeck y la Universidad de Birmingham han ideado una nueva técnica llamada Mala RAM (CVE-2024-21944, puntuación CVSS: 5,3) que emplea equipos disponibles en el mercado por valor de 10 dólares que combinan Raspberry Pi Pico, un zócalo DDR y una fuente de 9 V para violar las garantías de virtualización cifrada segura (SEV) de AMD. El estudio encontró que “la manipulación del chip SPD integrado en los módulos DRAM comerciales permite a los atacantes eludir las protecciones SEV, incluida la última versión SEV-SNP de AMD”. En pocas palabras, el ataque hace que el módulo de memoria informe intencionalmente mal su tamaño, engañando así a la CPU para que acceda a direcciones inexistentes que están asignadas de forma encubierta a regiones de memoria existentes. Esto podría dar lugar a un escenario en el que los metadatos del SPD se modifican para hacer que un módulo de memoria conectado parezca más grande de lo que es, permitiendo así que un atacante sobrescriba la memoria física. “BadRAM socava por completo la confianza en la última tecnología Secure Encrypted Virtualization (SEV-SNP) de AMD, que es ampliamente implementada por los principales proveedores de nube, incluidos Amazon AWS, Google Cloud y Microsoft Azure”, dijo el investigador de seguridad Jo Van Bulck a The Hacker News. “Al igual que Intel SGX/TDX y Arm CCA, AMD SEV-SNP es una piedra angular de la computación en la nube confidencial, lo que garantiza que los datos de los clientes permanezcan continuamente cifrados en la memoria y seguros durante el procesamiento de la CPU. En particular, como parte de la creciente participación de mercado de AMD, la La compañía informó recientemente que su mayor proporción de CPU de servidor estudia por primera vez los riesgos de seguridad de una RAM defectuosa: módulos de memoria no autorizados que deliberadamente proporcionan información falsa al procesador durante el inicio. AMD ha lanzado actualizaciones de firmware para solucionar el problema. vulnerabilidad. No hay evidencia de que haya sido explotado en la naturaleza.
- Meta soluciona el problema de privacidad de los medios de WhatsApp View Once — WhatsApp parece haber solucionado silenciosamente un problema del que se podía abusar para omitir trivialmente una función llamada Ver una vez que impide que los destinatarios del mensaje reenvíen, compartan, copien o tomen una captura de pantalla después de haberlo visto. La omisión implicó esencialmente el uso de una extensión del navegador que modifica la aplicación web WhatsApp. “La esencia del problema es que aunque los medios Ver una vez no deben mostrarse en el cliente web de WhatsApp, los medios se envían al cliente con su única ‘protección’ siendo una bandera que los anuncia como medios ‘ver una vez’, lo cual es respetado por el cliente oficial”, dijo el investigador de seguridad Tal Be’ery. El problema ha sido explotado ampliamente por extensiones de navegador disponibles públicamente.
🎥 Seminario web para expertos
Por qué incluso las mejores empresas son pirateadas y cómo detenerlo — En un mundo de amenazas cibernéticas en constante evolución, incluso las organizaciones mejor preparadas con soluciones de vanguardia pueden ser víctimas de infracciones. Pero, ¿por qué sucede esto y, lo que es más importante, cómo detenerlo?
Únase a nosotros para un seminario web exclusivo con el CISO de Silverfort, John Paul Cunningham.
Esto es lo que aprenderá:
- Vulnerabilidades ocultas A menudo se pasa por alto, incluso con soluciones de seguridad avanzadas.
- Cómo los atacantes eludir las defensas tradicionales y explotar los puntos ciegos
- Estrategias para alinear prioridades de ciberseguridad con objetivos comerciales
- Pasos prácticos para fortalecer su arquitectura de seguridad
Aprenda cómo alinear la ciberseguridad con los objetivos comerciales, abordar los puntos ciegos y adelantarse a las amenazas modernas.
👉 Regístrate ahora
🔧 Herramientas de ciberseguridad
- XRefer: Mandiant FLARE ha presentado XRefer, un complemento de código abierto para IDA Pro que simplifica el análisis de malware. Ofrece una descripción general clara de la estructura de un binario e información en tiempo real sobre artefactos clave, API y rutas de ejecución. Diseñado para ahorrar tiempo y mejorar la precisión, XRefer admite archivos binarios de Rust, filtra el ruido y facilita la navegación. Perfecto para una clasificación rápida o un análisis profundo, ahora está disponible para descargar.
- TrailBytes: ¿Alguna vez necesitó información rápida sobre lo que sucedió en un sistema informático con Windows pero tuvo problemas con herramientas que consumen mucho tiempo? TrailBytes ofrece una solución sencilla y gratuita a este problema. En las investigaciones forenses, es esencial construir una cronología de los acontecimientos. Comprender quién hizo qué, cuándo y dónde puede ser la clave para descubrir la verdad.
- Límites — Es un descompilador de iOS que ayuda a los investigadores a analizar archivos IPA. Construido sobre Ghidra, funciona en Mac, Windows y Linux. Es compatible con Swift y Objective-C, reconstruye clases de Swift, decodifica recursos de iOS y omite códigos de biblioteca innecesarios. También tiene IA incorporada para explicar métodos complejos. Malimite facilita la búsqueda de vulnerabilidades y la comprensión de cómo funcionan las aplicaciones de iOS.
🔒 Consejo de la semana
Monitoreo del portapapeles: detenga las fugas de datos antes de que sucedan ¿Sabías que el portapapeles de tus dispositivos podría ser una fuga silenciosa de datos confidenciales? La supervisión del portapapeles es una forma eficaz de detectar datos confidenciales que se copian y comparten, ya sea por parte de atacantes o mediante un uso indebido accidental. Herramientas avanzadas como sismoncon registro de eventos (ID de evento 10), permite el monitoreo en tiempo real de las actividades del portapapeles en todos los puntos finales. Soluciones empresariales como SymantecDLP o Competencia de Microsoft incorpore el seguimiento del portapapeles en estrategias más amplias de prevención de pérdida de datos, señalando patrones sospechosos como la copia masiva de texto o intentos de exfiltración de credenciales. Para uso personal, herramientas como Registrador de portapapeles puede ayudar a rastrear el historial del portapapeles. Informe a su equipo sobre los riesgos, deshabilite la sincronización del portapapeles cuando no sea necesario y configure alertas para palabras clave confidenciales. La supervisión del portapapeles proporciona una capa adicional de seguridad para proteger contra filtraciones de datos y amenazas internas.
Conclusión
Más allá de los titulares, un área que se pasa por alto es la higiene de la ciberseguridad personal. Los atacantes ahora están combinando tácticas, apuntando no solo a las empresas sino también a los dispositivos personales de los empleados para ingresar a redes seguras. Fortalecer la seguridad de los dispositivos personales, utilizar administradores de contraseñas y habilitar la autenticación multifactor (MFA) en todas las cuentas puede actuar como escudos poderosos. Recuerde, la seguridad de una organización a menudo es tan fuerte como su eslabón más débil, y ese vínculo puede ser el teléfono inteligente de alguien o la conexión Wi-Fi doméstica.
