Ciberseguridad: Tu escudo contra el crimen digital

A continuación, se resumen las noticias de la última semana sobre temas relacionados con ciberseguridad, donde las categorías principales son: vulnerabilidades, malware, phishing e industria. Las fuentes consultadas incluyen sitios web de noticias reconocidos como BBC, Reuters, ZDNet, Threatpost, The New York Times, BleepingComputer, Forbes, CNN, Dark Reading, Security Magazine y Europol.

El FBI ha advertido sobre la preparación de un ataque a la infraestructura crítica de EE.UU. por parte de hackers chinos. Esta información se basa en una fuente consultada en el sitio web de la BBC. Además, se menciona un ataque de hackers norcoreanos a contratistas de defensa surcoreanos, lo cual se relaciona con la categoría de industria. Esta noticia se basa en una fuente consultada en el sitio web de Reuters.

Se menciona una campaña de MuddyWater que explota Agentes Atera, lo cual se clasifica como malware. Esta información se basa en una fuente consultada en el sitio web de ZDNet. También se destaca una alerta de vulnerabilidad día cero en CrushFTP, lo cual se relaciona con la categoría de vulnerabilidades. Esta noticia se basa en una fuente consultada en el sitio web de Threatpost.

Se hace énfasis en un ataque de hackers rusos que explotan una vulnerabilidad de Windows informada por la NSA. Esta noticia se repite varias veces y se basa en una fuente consultada en el sitio web de The New York Times. Además, se destaca el ransomware Akira que afecta a organizaciones en todo el mundo, lo cual se clasifica como malware. Esta información se basa en una fuente consultada en el sitio web de BleepingComputer.

También se detalla que UnitedHealth Group pagó un rescate a una banda de ransomware para evitar la filtración de datos, lo cual se relaciona con la categoría de malware. Esta noticia se basa en una fuente consultada en el sitio web de Forbes. También se destaca los ciberataques de Irán contra entidades estadounidenses, lo cual se clasifica como noticias generales. Esta información se basa en una fuente consultada en el sitio web de CNN.

Se evidencia un ataque de APT28 utilizando una vulnerabilidad en Windows Print Spooler, lo cual se relaciona con la categoría de vulnerabilidades. Esta noticia se basa en una fuente consultada en el sitio web de Dark Reading. Además, se destaca las tendencias de ataques de phishing en 2024, lo cual se clasifica como phishing. Esta información se basa en una fuente consultada en el sitio web de Security Magazine.

Por último, se menciona una operación internacional que desmantela una plataforma de phishing llamada LabHost, lo cual se clasifica como phishing. Esta noticia se basa en una fuente consultada en el sitio web de Europol.

MALWARE

Campaña de MuddyWater explotando Agentes Atera

El grupo de amenazas MuddyWater, respaldado por el estado iraní, ha estado explotando los Atera Agents en una campaña de ataque sofisticada. Utilizan tácticas de spearphishing y se aprovechan de las ofertas de prueba gratuita de Atera para distribuir los agentes comprometidos. Han demostrado un mayor nivel de sofisticación en sus técnicas de spearphishing, lo que destaca la importancia de la educación y concienciación en ciberseguridad para protegerse contra estas amenazas.

Recomendación: Monitorear y controlar el uso de herramientas RMM, implementar prácticas de código seguro y fortalecer los mecanismos de autenticación.

Prioridad: Alta Fuentes:

• Fuente 1

• Fuente 2

• Fuente 3

• Fuente 4

• Fuente 5

• Fuente 6

• Fuente 7  

Akira Ransomware: Amenaza de ransomware que afecta a organizaciones en todo el mundo

El ransomware Akira ha estado afectando a una amplia gama de empresas y entidades de infraestructura crítica en todo el mundo. Esta amenaza ha evolucionado desde su enfoque inicial en sistemas Windows hasta una variante de Linux que apunta a máquinas virtuales VMware ESXi. Los actores de amenazas de Akira han utilizado diferentes variantes de ransomware, como Megazord y Akira_v2, para cifrar los sistemas y exigir un rescate en Bitcoin. 

Recomendación: Para protegerse contra el ransomware Akira, se recomienda implementar medidas de seguridad como mantener copias de seguridad actualizadas, aplicar parches de seguridad, utilizar autenticación de múltiples factores y segmentar las redes. Además, es importante educar a los empleados sobre las prácticas de seguridad cibernética y estar atentos a los correos electrónicos y enlaces sospechosos. En caso de infección, se recomienda no pagar el rescate y reportar el incidente a las autoridades competentes.

Prioridad: Alta

Fuentes:

• Fuente 1

• Fuente 2

• Fuente 3

• Fuente 4

• Fuente 5

• Fuente 6

UnitedHealth Group paga rescate a banda de ransomware para evitar la filtración de datos

El grupo UnitedHealth confirmó que pagó un rescate a ciberdelincuentes para proteger datos sensibles robados durante un ataque de ransomware en febrero. El ataque afectó los servicios de pago de Change Healthcare, causando daños financieros por $872 millones. El grupo de ransomware BlackCat/ALPHV se atribuyó el ataque y afirmó haber robado 6TB de datos de pacientes. UnitedHealth pagó el rescate para evitar la venta o filtración de los datos. Se ha establecido un centro de llamadas para brindar servicios de monitoreo de crédito y protección contra robo de identidad a los afectados. La categoría de este ataque es 'Malware'.

Recomendación: Fortalecer las medidas de seguridad y educar a los empleados sobre los riesgos del ransomware.

Prioridad: Alta

Fuentes:

• Fuente 1

• Fuente 2

• Fuente 3

• Fuente 4

• Fuente 5

• Fuente 6

• Fuente 7

PHISHING

Tendencias de ataques de phishing en 2024

Los ataques de phishing han experimentado un aumento significativo en 2023 y 2024, especialmente en el uso de códigos QR como carga útil en correos electrónicos de phishing. Estos ataques han demostrado ser altamente exitosos debido a la combinación de tecnología disponible y la familiaridad (o complacencia) de los consumidores. Además, se ha observado un aumento en la ingeniería social y en la longitud de los correos electrónicos de phishing, posiblemente debido al uso de inteligencia artificial generativa. Por otro lado, el uso de cargas útiles basadas en adjuntos ha disminuido, ya que los actores de amenazas evolucionan sus técnicas para evadir los esfuerzos de ciberseguridad. Microsoft Teams y Slack son los canales más utilizados en los ataques de phishing multiplataforma. Se espera que los ataques de deepfakes y el uso de inteligencia artificial generativa aumenten en el futuro. Los indicadores de compromiso (IOC) no se mencionan en este artículo.

Recomendación: Para evitar los ataques de phishing, es importante que las organizaciones implementen programas de concientización en seguridad que incluyan educación sobre ataques de phishing y cómo identificarlos. Además, se recomienda utilizar soluciones de seguridad de correo electrónico que puedan detectar y bloquear correos electrónicos de phishing. También es importante mantenerse actualizado sobre las últimas tendencias y técnicas utilizadas por los ciberdelincuentes en los ataques de phishing.

Prioridad: Alta

Fuentes:

• Fuente 1

• Fuente 2

• Fuente 3

• Fuente 4

• Fuente 5

• Fuente 6

• Fuente 7

Operación internacional desmantela plataforma de phishing LabHost

Una operación internacional liderada por Europol ha llevado al desmantelamiento de LabHost, una de las plataformas más grandes de phishing como servicio (PhaaS). LabHost ofrecía herramientas y recursos de phishing a ciberdelincuentes de todo el mundo, y contaba con más de 10,000 usuarios. La plataforma proporcionaba kits de phishing, infraestructura de alojamiento, características interactivas para atraer a las víctimas y herramientas de gestión de campañas. Durante la investigación, se descubrieron aproximadamente 40,000 dominios de phishing asociados a LabHost. La operación resultó en la detención de 37 personas en diferentes países. LabHost utilizaba una herramienta de gestión de campañas llamada LabRat, que permitía a los ciberdelincuentes controlar y monitorear los ataques en tiempo real. Esta herramienta también capturaba códigos de autenticación de dos factores y credenciales, lo que permitía a los criminales eludir medidas de seguridad mejoradas.

Recomendación: Fortalecer las prácticas de seguridad, como el uso de autenticación de dos factores y la educación sobre phishing, para evitar este tipo de ataques.

Prioridad: Alta

Fuentes:

• Fuente 1

• Fuente 2

• Fuente 3

• Fuente 4

• Fuente 5

• Fuente 6

• Fuente 7

• Fuente 8

VULNERABILIDADES

FBI advierte que los hackers chinos están preparando un ataque a la infraestructura crítica de EE.UU

El director del FBI, Christopher Wray, ha advertido que los hackers chinos están preparando un ataque a la infraestructura crítica de Estados Unidos. Según Wray, China ha estado apuntando a entidades de oleoductos desde 2011 y recientemente ha ampliado su objetivo a empresas estadounidenses en los sectores de agua, energía y telecomunicaciones. El propósito final de estos ataques es dar a Beijing la capacidad de causar estragos en la infraestructura crítica de Estados Unidos en el momento que elijan.

Recomendación: Fortalecer las defensas cibernéticas y colaborar con socios internacionales para compartir información y contrarrestar las amenazas.

Prioridad: Crítica

Fuentes:

• Fuente 1

• Fuente 2

• Fuente 3

• Fuente 4

• Fuente 5

• Fuente 6

• Fuente 7

Alerta de vulnerabilidad día cero en CrushFTP

CrushFTP, un servidor de transferencia de archivos en la nube, ha sido afectado por una vulnerabilidad de escape de sandbox que ha sido explotada como zero-day por atacantes. La vulnerabilidad, identificada como CVE-2024-4040, permite a los atacantes escapar del sandbox del servidor y acceder y descargar archivos del sistema. Se han detectado ataques dirigidos en varias entidades de los Estados Unidos, con motivaciones políticas posiblemente. Se ha publicado un exploit de prueba de concepto (PoC) en GitHub, lo que aumenta el riesgo de ataques en servidores no parcheados.

Recomendación: Para mitigar esta vulnerabilidad, se recomienda a las organizaciones que actualicen sus sistemas a la última versión parcheada de CrushFTP. Aquellos que utilicen un servidor DMZ para procesar protocolos y conexiones frente a su instancia principal de CrushFTP estarán parcialmente protegidos debido al sistema de traducción de protocolos utilizado en el DMZ. Sin embargo, se debe tener en cuenta que un DMZ no ofrece una protección completa y se debe actualizar inmediatamente. Además, se recomienda a los clientes de CrushFTP que endurezcan sus servidores contra ataques de RCE de nivel de administrador habilitando el modo de servidor limitado con la configuración más restrictiva posible. También se sugiere el uso de firewalls para restringir agresivamente las direcciones IP que tienen acceso a los servicios de CrushFTP.

Prioridad: Alta

Fuentes:

• Fuente 1

• Fuente 2

• Fuente 3

• Fuente 4

• Fuente 5

• Fuente 6

• Fuente 7

• Fuente 8

Ataque de hackers rusos explotan vulnerabilidad de Windows informada por la NSA

Los hackers rusos del grupo APT28 han estado explotando una vulnerabilidad crítica de Windows durante cuatro años en ataques dirigidos a una amplia gama de organizaciones. La vulnerabilidad, conocida como CVE-2022-38028, permite a los atacantes obtener privilegios de sistema en Windows. Microsoft parcheó la vulnerabilidad en octubre de 2022, pero no mencionó que estaba siendo explotada activamente. Los hackers utilizan una herramienta llamada GooseEgg para llevar a cabo sus ataques, la cual les permite ejecutar otros programas con permisos elevados y realizar acciones como la ejecución remota de código y la instalación de puertas traseras.

Recomendación: Para evitar este tipo de ataques, es importante mantener el software y los sistemas operativos actualizados con los últimos parches y actualizaciones. Además, se recomienda utilizar medidas de seguridad como antivirus y firewalls para protegerse contra posibles intrusiones. También es importante estar atento a posibles señales de compromiso, como comportamiento inusual del sistema o solicitudes de información confidencial.

Prioridad: Alta

Fuentes:

• Fuente 1

• Fuente 2

• Fuente 3

• Fuente 4

• Fuente 5

• Fuente 6

• Fuente 7

Ataques de APT28 utilizando vulnerabilidad en Windows Print Spooler

El grupo de amenazas APT28, vinculado a Rusia, ha utilizado una vulnerabilidad en el componente Windows Print Spooler de Microsoft para desplegar un malware personalizado llamado GooseEgg. Este malware aprovecha una falla ya parcheada que permitía la escalada de privilegios. APT28 ha utilizado esta herramienta desde al menos junio de 2020 y posiblemente desde abril de 2019. Han dirigido sus ataques a organizaciones gubernamentales, no gubernamentales, educativas y de transporte en Ucrania, Europa Occidental y América del Norte.

Recomendación: Para mitigar este riesgo, se recomienda instalar el parche de seguridad proporcionado por Microsoft en octubre de 2022. Además, es importante mantener actualizados los sistemas Windows con los últimos parches de seguridad. También se debe tener precaución al interactuar con adjuntos o enlaces, especialmente en correos electrónicos de fuentes desconocidas, ya que los intentos de phishing son un método comúnmente utilizado por los atacantes. No se han encontrado IOC en este caso.

Prioridad: Alta

Fuentes:

• Fuente 1

• Fuente 2

• Fuente 3

• Fuente 4

• Fuente 5

• Fuente 6

INDUSTRIAL

Ataques de hackers norcoreanos a contratistas de defensa surcoreanos

La Agencia Nacional de Policía de Corea del Sur emitió una advertencia urgente sobre los grupos de hackers norcoreanos que están atacando a entidades de la industria de defensa para robar información tecnológica valiosa. Los grupos de hackers Lazarus, Andariel y Kimsuky, todos parte del aparato de hacking norcoreano, han llevado a cabo varios ataques exitosos a empresas de defensa en Corea del Sur. Estos ataques se realizaron aprovechando vulnerabilidades en los sistemas de conexión de red de las empresas objetivo. La policía coreana recomienda a las empresas de defensa mejorar la seguridad de la red, realizar restablecimientos periódicos de contraseñas, implementar autenticación de dos factores en todas las cuentas críticas y bloquear el acceso desde direcciones IP extranjeras.

Recomendación: Mejorar la seguridad de la red, realizar restablecimientos periódicos de contraseñas, implementar autenticación de dos factores en todas las cuentas críticas y bloquear el acceso desde direcciones IP extranjeras.

Prioridad: Crítica

Fuentes:

• Fuente 1

• Fuente 2

• Fuente 3

• Fuente 4

• Fuente 5

• Fuente 6

NOTICIAS GENERALES

Ciberataques de Irán contra entidades estadounidenses

El Departamento del Tesoro de los Estados Unidos ha impuesto sanciones a empresas y personas vinculadas a ciberataques realizados por Irán contra entidades estadounidenses. Estos ataques incluyen phishing y ataques de malware. El objetivo de estos ciberataques es desestabilizar la infraestructura crítica de los Estados Unidos.

Recomendación: Implementar medidas de seguridad como antivirus, firewalls y concienciación sobre seguridad para evitar este tipo de ataques.

Prioridad: Alta

Fuentes:

• Fuente 1

• Fuente 2

• Fuente 3

• Fuente 4

• Fuente 5

• Fuente 6

• Fuente 7

• Fuente 8

RESUMEN Y DETALLES DE INDICADORES DE COMPROMISO (IoC)

Malware: IoCs Campaña de MuddyWater explotando Agentes Atera.

Para más detalles: Clic Aquí

Malware: IoCs Akira Ransomware: Amenaza de ransomware que afecta a organizaciones en todo el mundo.

Para más detalles: Clic Aquí

Malware: IoCs Blackcat: UnitedHealth Group paga rescate a banda de ransomware para evitar la filtración de datos.

Para más detalles: Clic Aquí