¿Qué tienen en común los sitios web secuestrados, las ofertas de trabajo falsas y el ransomware furtivo? Son una prueba de que los ciberdelincuentes están encontrando formas más inteligentes y furtivas de explotar tanto los sistemas como las personas.
Esta semana deja una cosa clara: ningún sistema, ninguna persona, ninguna organización está verdaderamente fuera de los límites. Los atacantes son cada vez más inteligentes, más rápidos y más creativos y utilizan de todo, desde la confianza humana hasta fallas ocultas en la tecnología. La verdadera pregunta es: ¿estás listo?
💪 Cada ataque encierra una lección, y cada lección es una oportunidad para fortalecer tus defensas. Esto no es solo una noticia: es su guía para mantenerse seguro en un mundo donde las amenazas cibernéticas están en todas partes. Vamos a sumergirnos.
⚡ Amenaza de la semana
Palo Alto Networks advierte sobre el día cero: Una falla de ejecución remota de código en la interfaz de administración del firewall PAN-OS de Palo Alto Networks es el día cero más nuevo que se explota activamente en la naturaleza. La compañía comenzó a advertir sobre posibles preocupaciones de explotación el 8 de noviembre de 2024. Desde entonces, se ha confirmado que ha sido utilizada como arma en ataques limitados para desplegar un caparazón web. La vulnerabilidad crítica aún no tiene parches, lo que hace aún más crucial que las organizaciones limiten el acceso a la interfaz de administración a direcciones IP confiables. El desarrollo se produce cuando tres fallas críticas diferentes en Palo Alto Networks Expedition (CVE-2024-5910, CVE-2024-9463 y CVE-2024-9465) también han sido objeto de intentos de explotación activa. Los detalles sobre quién los explota y la escala de los ataques son escasos.
8 beneficios de un servicio de copia de seguridad para Microsoft 365
Modernice sus soluciones de protección de datos con una solución como servicio. Lea este libro electrónico, “8 beneficios de un servicio de copia de seguridad para Microsoft 365”, para comprender qué hace que los servicios de copia de seguridad basados en la nube sean tan atractivos para las empresas que utilizan Microsoft 365 y por qué pueden ser justo lo que necesita para mantener su negocio en funcionamiento.
Descargar AHORA
🔔 Noticias destacadas
- BrazenBamboo aprovecha un defecto de Fortinet sin parchear: Un actor de amenazas conocido como BrazenBamboo ha explotado una falla de seguridad no resuelta en FortiClient para Windows de Fortinet para extraer credenciales de VPN como parte de un marco modular llamado DEEPDATA. Volexity describió a BrazenBamboo como el desarrollador de tres familias distintas de malware, DEEPDATA, DEEPPOST y LightSpy, y no necesariamente uno de los operadores que las utilizan. BlackBerry, que también detalló DEEPDATA, dijo que ha sido utilizado por el actor APT41 vinculado a China.
- Alrededor de 70.000 dominios secuestrados por ataques de patos sentados: Se ha descubierto que varios actores de amenazas aprovechan una técnica de ataque llamada Sitting Ducks para secuestrar dominios legítimos y utilizarlos en ataques de phishing y esquemas de fraude de inversiones durante años. Sitting Ducks aprovecha las configuraciones erróneas en la configuración del sistema de nombres de dominio (DNS) de un dominio web para tomar el control del mismo. De los casi 800.000 dominios vulnerables registrados en los últimos tres meses, aproximadamente el 9% (70.000) han sido secuestrados posteriormente.
- ¿Tiene la oferta de trabajo de sus sueños en LinkedIn? Pueden ser hackers iraníes: El actor de amenazas iraní conocido como TA455 se dirige a los usuarios de LinkedIn con atractivas ofertas de trabajo destinadas a engañarlos para que ejecuten un malware basado en Windows llamado SnailResin. Se han observado ataques dirigidos a las industrias aeroespacial, de aviación y de defensa desde al menos septiembre de 2023. Curiosamente, las tácticas se superponen con las del famoso Grupo Lazarus, con sede en Corea del Norte.
- WIRTE apunta a Israel con SameCoin Wiper: WIRTE, un actor de amenazas de Medio Oriente afiliado a Hamás, ha orquestado operaciones de ciberespionaje contra la Autoridad Palestina, Jordania, Irak, Arabia Saudita y Egipto, así como también ha llevado a cabo ataques disruptivos dirigidos exclusivamente a entidades israelíes que utilizan el limpiador SameCoin. Las operaciones destructivas se detectaron por primera vez a principios de año.
- Lanzamiento del descifrador ShrinkLocker: La empresa rumana de ciberseguridad Bitdefender ha lanzado un descifrador gratuito para ayudar a las víctimas a recuperar datos cifrados mediante el ransomware ShrinkLocker. Identificado por primera vez a principios de este año, ShrinkLocker se destaca por su abuso de la utilidad BitLocker de Microsoft para cifrar archivos como parte de ataques de extorsión dirigidos a entidades en México, Indonesia y Jordania.
🔥 CVE de tendencia
Los recientes desarrollos en materia de ciberseguridad han puesto de relieve varias vulnerabilidades críticas, entre ellas: CVE-2024-10924, CVE-2024-10470, CVE-2024-10979, CVE-2024-9463, CVE-2024-9465, CVE-2024-43451, CVE-2024. -49039, CVE-2024-8068, CVE-2024-8069, CVE-2023-28649, CVE-2023-31241, CVE-2023-28386, CVE-2024-50381, CVE-2024-7340 y CVE-2024-47574. Estos fallos de seguridad son graves y podrían poner en riesgo tanto a las empresas como a la gente común y corriente. Para mantenerse a salvo, todos deben mantener actualizado su software, actualizar sus sistemas y estar constantemente atentos a las amenazas.
📰 Alrededor del mundo cibernético
- Se revelan las principales vulnerabilidades explotadas habitualmente en 2023: Las agencias de ciberseguridad de las naciones de los Cinco Ojos, Australia, Canadá, Nueva Zelanda, el Reino Unido y los EE. UU., han publicado la lista de las 15 principales vulnerabilidades que se ha observado que los actores de amenazas explotan de forma rutinaria en 2023. Esto incluye fallas de seguridad de Citrix NetScaler (CVE- 2023-3519, CVE-2023-4966), Cisco (CVE-2023-20198, CVE-2023-20273), Fortinet (CVE-2023-27997), Progress MOVEit Transfer (CVE-2023-34362), Atlassian (CVE-2023-22515), Apache Log4j (CVE-2021-44228), Barracuda Networks ESG ( CVE-2023-2868), Zoho ManageEngine (CVE-2022-47966), PaperCut MF/NG (CVE-2023-27350), Microsoft Netlogon (CVE-2020-1472), JetBrains TeamCity (CVE-2023-42793), Microsoft Outlook (CVE-2023-23397), y ownCloud (CVE-2023-49103). “Una explotación inicial más rutinaria de las vulnerabilidades de día cero representa la nueva normalidad que debería preocupar tanto a las organizaciones de usuarios finales como a los proveedores, ya que los actores maliciosos buscan infiltrarse en las redes”, dijo el NCSC del Reino Unido. La divulgación coincidió con el anuncio de Google de que comenzará a emitir “CVE para vulnerabilidades críticas de Google Cloud, incluso cuando no requieramos la acción del cliente o parches” para aumentar la transparencia de las vulnerabilidades. También se produjo cuando el Programa CVE cumplió recientemente 25 años, con más de 400 autoridades de numeración CVE (CNA) y más de 240.000 identificadores CVE asignados en octubre de 2024. El Instituto Nacional de Estándares y Tecnología de EE. UU. (NIST), por su parte, dijo que ahora tiene un “equipo completo de analistas a bordo, y estamos abordando todos los CVE entrantes a medida que se cargan en nuestro sistema” para abordar la acumulación de CVE que se acumuló a principios de este año calendario.
- GeoVision Zero-Day bajo ataque: Se está aprovechando una nueva falla de día cero en los dispositivos GeoVision al final de su vida útil (CVE-2024-11120, puntuación CVSS: 9,8), una vulnerabilidad de inyección de comando previa a la autenticación, para comprometerlos e incluirlos en una botnet Mirai para posibles ataques DDoS. o ataques de criptominería. “Observamos un exploit de día 0 en la naturaleza utilizado por una botnet dirigida a dispositivos GeoVision EOL”, dijo la Fundación Shadowserver. Se recomienda a los usuarios de GV-VS12, GV-VS11, GV-DSP_LPR_V3, GVLX 4 V2 y GVLX 4 V3 que los reemplacen.
- El nuevo troyano bancario Silver Shifting Yak apunta a América Latina: Se ha observado que un nuevo troyano bancario basado en Windows llamado Silver Shifting Yak apunta a usuarios latinoamericanos con el objetivo de robar información de instituciones financieras como Banco Itaú, Banco do Brasil, Banco Bandresco, Foxbit y Mercado Pago Brasil, entre otras, como así como las credenciales utilizadas para acceder a portales de Microsoft como Outlook, Azure y Xbox. Se cree que las etapas iniciales de ataque del malware se inician mediante correos electrónicos de phishing que llevan a las víctimas a archivos .ZIP maliciosos alojados en sitios web falsos. El desarrollo se produce cuando el actor de amenazas conocido como Hive0147 ha comenzado a utilizar un nuevo descargador malicioso llamado Picanha para implementar el troyano bancario Mekotio. “Hive0147 también distribuye otros troyanos bancarios, como Banker.FN, también conocido como Coyote, y probablemente esté afiliado a varios otros grupos latinoamericanos de delitos cibernéticos que operan diferentes descargadores y troyanos bancarios para permitir el fraude bancario”, dijo IBM X-Force.
- La red Tor enfrenta un ataque de suplantación de IP: El Proyecto Tor dijo que la red de anonimato Tor fue el objetivo de un “ataque coordinado de suplantación de IP” que comenzó el 20 de octubre de 2024. El atacante “falsificó retransmisiones sin salida y otras IP relacionadas con Tor para generar informes de abuso destinados a interrumpir el Proyecto Tor y la red Tor”, decía el proyecto. “El origen de estos paquetes falsificados fue identificado y cerrado el 7 de noviembre de 2024”. El Proyecto Tor dijo que el incidente no tuvo ningún impacto en sus usuarios, pero dijo que sí desconectó temporalmente algunos retransmisiones. No está claro quién está detrás del ataque.
- El FBI advierte sobre delincuentes que envían solicitudes fraudulentas de datos policiales: El FBI advierte que los piratas informáticos están obteniendo información privada de usuarios de empresas tecnológicas con sede en EE. UU. comprometiendo direcciones de correo electrónico de gobiernos y policías de EE. UU. y de otros países para enviar solicitudes de datos de “emergencia”. El abuso de solicitudes de datos de emergencia por parte de actores maliciosos como LAPSUS$ se ha informado en el pasado, pero esta es la primera vez que el FBI admite formalmente que el proceso legal está siendo explotado con fines delictivos. “Los ciberdelincuentes comprenden la necesidad de exigencia y la utilizan a su favor para acortar el análisis necesario de la solicitud de datos de emergencia”, dijo la agencia.
- Nuevas tendencias en ransomware: Un actor de amenazas con motivación financiera conocido como Lunar Spider ha sido vinculado a una campaña de publicidad maliciosa dirigida a servicios financieros que emplea envenenamiento de SEO para entregar el malware Latrodectus, que, a su vez, se utiliza para implementar el marco de post-explotación Brute Ratel C4 (BRc4). . En esta campaña detectada en octubre de 2024, los usuarios que buscan contenido relacionado con impuestos en Bing son inducidos a descargar un JavaScript ofuscado. Tras la ejecución, este script recupera un instalador de Windows (MSI) de un servidor remoto, que instala Brute Ratel. Luego, el kit de herramientas se conecta a servidores de comando y control (C2) para obtener más instrucciones, lo que permite al atacante controlar el sistema infectado. Se cree que el objetivo final de los ataques es implementar ransomware en hosts comprometidos. Lunar Spider también es el desarrollador detrás de IcedID, lo que sugiere que el actor de amenazas continúa evolucionando su enfoque de implementación de malware para contrarrestar los esfuerzos de aplicación de la ley. No es sólo la Araña Lunar. Otra infame banda de cibercrimen llamada Scattered Spider ha estado actuando como intermediario de acceso inicial para la operación de ransomware RansomHub, empleando tácticas avanzadas de ingeniería social para obtener acceso privilegiado e implementar el cifrado para impactar un entorno ESXi crítico en sólo seis horas”. Los ataques de ransomware, incluidos los dirigidos a servicios en la nube, continúan siendo una amenaza persistente, incluso cuando el volumen de los incidentes está comenzando a disminuir y hay una disminución constante en las tasas de pago de rescate. La aparición de nuevas familias de ransomware como. A pesar de Frag, Interlock e Ymir, una de las tendencias notables en 2024 ha sido el aumento de actores de ransomware no afiliados, los llamados “lobos solitarios” que operan de forma independiente.
🔥 Recursos, guías y conocimientos
🎥 Seminario web para expertos
- Cómo estar preparado para el reemplazo rápido de certificados — ¿Es la revocación de certificados una pesadilla para su empresa? Únase a nuestro seminario web gratuito y aprenda cómo reemplazar certificados a la velocidad del rayo. Compartiremos secretos para minimizar el tiempo de inactividad, automatizar los reemplazos, dominar la agilidad criptográfica e implementar las mejores prácticas para lograr la máxima resiliencia.
- Construyendo el mañana de forma segura: seguridad de IA en el desarrollo de aplicaciones — La IA está revolucionando el mundo, pero ¿estás preparado para los riesgos? Aprenda a crear aplicaciones de IA seguras desde cero, a protegerse contra filtraciones de datos y pesadillas operativas, e integrar una seguridad sólida en su proceso de desarrollo. Reserva tu plaza ahora y descubre las herramientas esenciales para salvaguardar tus iniciativas de IA.
🔧 Herramientas de ciberseguridad
- Grafana — Grafana es una plataforma de monitoreo y observabilidad de código abierto que permite a los equipos de ciberseguridad consultar, visualizar y alertar sobre métricas de seguridad desde cualquier fuente de datos. Ofrece paneles personalizables con visualizaciones flexibles y variables de plantilla, lo que permite el monitoreo de amenazas, la detección de intrusiones y la respuesta a incidentes en tiempo real. Funciones como consultas ad hoc y desgloses dinámicos facilitan la exploración de métricas relacionadas con el tráfico de red, el comportamiento del usuario y los registros del sistema. La exploración fluida de registros con filtros preservados respalda las investigaciones forenses, mientras que las definiciones de alertas visuales garantizan notificaciones oportunas a los centros de operaciones de seguridad a través de integraciones con herramientas como Slack y PagerDuty. Además, la capacidad de Grafana para combinar diferentes fuentes de datos, incluidas las personalizadas, proporciona un monitoreo de seguridad integral en diversos entornos, lo que mejora la capacidad de la organización para mantener una postura sólida de ciberseguridad.
- URLloco es una herramienta OSINT diseñada para que los profesionales de la ciberseguridad generen y prueben errores tipográficos o variaciones de dominio, detectando y previniendo eficazmente la okupación de errores tipográficos, el secuestro de URL, el phishing y el espionaje corporativo. Al crear 15 tipos de variantes de dominio y aprovechar más de 8000 errores ortográficos comunes en más de 1500 dominios de nivel superior, URLCrazy ayuda a las organizaciones a proteger su marca registrando errores tipográficos populares, identificando dominios que desvían el tráfico destinado a sus sitios legítimos y realizando simulaciones de phishing durante las pruebas de penetración. .
🔒 Consejo de la semana
Utilice tokens Canary para detectar intrusiones — Los piratas informáticos dependen de permanecer ocultos, pero los tokens canary le ayudan a detectarlos temprano. Se trata de archivos, enlaces o credenciales falsos, como “Confidential_Report_2024.xlsx” o una clave AWS falsa, colocados en lugares que a los piratas informáticos les encanta espiar: unidades compartidas, carpetas de administración o almacenamiento en la nube. Si alguien intenta acceder a ellos, recibirá una alerta instantánea con detalles como su dirección IP y la hora de acceso.
Son fáciles de configurar utilizando herramientas gratuitas como Canarytokens.org y no necesita ninguna habilidad avanzada. Simplemente manténgalos realistas, colóquelos en lugares clave y busque alertas. Asegúrese de probar sus tokens después de la configuración para asegurarse de que funcionen y evite usarlos en exceso para evitar ruidos innecesarios. Colóquelos estratégicamente en áreas de alto valor y supervise de cerca las alertas para actuar rápidamente si se activan. Es una forma inteligente y que requiere poco esfuerzo de detectar a los piratas informáticos antes de que puedan causar daños.
Conclusión
Eso es todo por las actualizaciones de ciberseguridad de esta semana. Las amenazas pueden parecer complicadas, pero protegerse no tiene por qué serlo. Comience de manera simple: mantenga sus sistemas actualizados, capacite a su equipo para detectar riesgos y siempre verifique todo lo que parezca incorrecto.
La ciberseguridad no es sólo algo que haces, es cómo piensas. Manténgase curioso, cauteloso y protegido. Volveremos la próxima semana con más consejos y actualizaciones para mantenerlo a la vanguardia de las amenazas.