Últimas amenazas y vulnerabilidades en ciberseguridad: De brechas de datos a ataques de fuerza bruta

La brecha de datos de Space-Eyes ha comprometido la seguridad nacional de Estados Unidos, según informes de vulnerabilidades. Esta situación plantea preocupaciones sobre la protección de la información sensible y confidencial del país. Por otro lado, Telegram ha solucionado una vulnerabilidad en su aplicación de Windows que permitía la ejecución de scripts de Python, lo que podría haber sido aprovechado por ciberdelincuentes para llevar a cabo ataques maliciosos.

En cuanto a malware, se ha descubierto una campaña maliciosa de Google Ads que distribuye software falso de escáner de IP con una puerta trasera oculta. Además, se ha identificado un nuevo malware bancario llamado SoumniBot, diseñado específicamente para dispositivos Android. Estos casos resaltan la importancia de contar con medidas de seguridad adecuadas para proteger nuestros dispositivos y datos personales.

En el ámbito de las vulnerabilidades, se ha lanzado una actualización de seguridad de Chrome que corrige 23 vulnerabilidades, lo que destaca la necesidad de mantener nuestros navegadores actualizados para evitar posibles ataques. También se han reportado ataques masivos de fuerza bruta contra servicios VPN y SSH, lo que pone de manifiesto la importancia de contar con contraseñas seguras y medidas de autenticación adicionales.

Por último, se ha informado sobre la explotación de nuevas vulnerabilidades críticas de OpenMetadata en clústeres de Kubernetes, lo que resalta la importancia de mantener actualizados los sistemas y aplicar parches de seguridad.

Fuentes consultadas:

• Brecha de datos de Space-Eyes compromete la seguridad nacional de Estados Unidos". Fuente: https://www.hackread.com/intelbroker-space-eyes-breach-us-national-security-data.

• "Telegram soluciona vulnerabilidad en su aplicación de Windows que permitía ejecutar scripts de Python". Fuente: https://www.bleepingcomputer.com/news/security/telegram-fixes-windows-app-zero-day-used-to-launch-python-scripts/.

• "Campaña maliciosa de Google Ads distribuye software falso de escáner de IP con puerta trasera oculta". Fuente: https://thehackernews.com/2024/04/malicious-google-ads-pushing-fake-ip.html.

• "SoumniBot: Un nuevo malware bancario para dispositivos Android". Fuente: https://thehackernews.com/2024/04/malicious-google-ads-pushing-fake-ip.html.

• "Actualización de seguridad de Chrome: 23 vulnerabilidades corregidas". Fuente: https://cybersecuritynews.com/chrome-security-update-23 vulnerabilities/

• "Ataques masivos de fuerza bruta contra servicios VPN y SSH". Fuente: https://blog.talosintelligence.com/large-scale-brute-force-activity-targeting-vpns-ssh-services-with-commonly-used-login-credentials/.

• "Atacantes explotan nuevas vulnerabilidades críticas de OpenMetadata en clústeres de Kubernetes". Fuente: https://www.microsoft.com/en-us/security/blog/2024/04/17/attackers-exploiting-new-critical-openmetadata-vulnerabilities-on-kubernetes-clusters/.

MALWARE

Campaña maliciosa de Google Ads distribuye software falso de escáner de IP con puerta trasera oculta

Una nueva campaña de malvertising de Google está utilizando un grupo de dominios que imitan un software legítimo de escáner de IP para distribuir una puerta trasera previamente desconocida llamada MadMxShell. Los actores de amenazas registraron múltiples dominios similares utilizando una técnica de typosquatting y utilizaron Google Ads para promocionar estos dominios en los resultados de búsqueda, dirigiéndose a palabras clave específicas. Los usuarios que buscan estas herramientas son redirigidos a sitios falsos que contienen código JavaScript diseñado para descargar un archivo malicioso al hacer clic en el botón de descarga. El archivo contiene un archivo DLL y un ejecutable que se utilizan para cargar la secuencia de infección. La puerta trasera utiliza consultas DNS MX para comunicarse con un servidor de comando y control y está diseñada para recopilar información del sistema, ejecutar comandos y manipular archivos. No se han encontrado IOC en este caso.

Recomendación: Para evitar este tipo de ataque, se recomienda a los usuarios tener cuidado al descargar software de fuentes desconocidas y verificar la autenticidad de los sitios web antes de hacer clic en enlaces o descargar archivos. Además, es importante mantener actualizados los programas antivirus y realizar análisis regulares del sistema para detectar posibles amenazas.

Prioridad: Alta Fuentes:

• Fuente 1

• Fuente 2

• Fuente 3

• Fuente 4

• Fuente 5

• Fuente 6

SoumniBot: Un nuevo malware bancario para dispositivos Android

SoumniBot es un nuevo malware bancario que se dirige a usuarios coreanos y se destaca por su enfoque no convencional para evadir el análisis y la detección, específicamente la ofuscación del manifiesto de Android. Este malware utiliza varias técnicas de ofuscación, como el uso de un valor de método de compresión no válido en el manifiesto, un tamaño de manifiesto no válido y nombres de espacio largos. Cuando se ejecuta, SoumniBot solicita una configuración desde un servidor remoto y luego inicia un servicio malicioso que recopila y envía datos del dispositivo de la víctima al servidor. Además, SoumniBot tiene la capacidad de robar claves bancarias en línea utilizadas por los clientes de los bancos coreanos. Para evitar convertirse en víctima de este tipo de malware, se recomienda utilizar una solución de seguridad confiable en su dispositivo móvil. Los indicadores de compromiso (IOC) asociados con SoumniBot incluyen hashes MD5 y direcciones URL de los servidores de comando y control utilizados por el malware.

Recomendación: Para evitar convertirse en víctima de malware como SoumniBot, se recomienda utilizar una solución de seguridad confiable en su dispositivo móvil. Además, es importante mantener su sistema operativo y aplicaciones actualizadas, ya que las actualizaciones suelen incluir parches de seguridad que pueden proteger contra vulnerabilidades conocidas. También se recomienda tener cuidado al descargar aplicaciones de fuentes no confiables y evitar hacer clic en enlaces sospechosos o descargar archivos adjuntos de correos electrónicos no solicitados. Por último, es importante educarse sobre las últimas amenazas de malware y estar atento a las prácticas de seguridad recomendadas.

Indicadores de compromiso (IoC):

Prioridad: Alta

Fuentes:

• Fuente 1

• Fuente 2

• Fuente 3

• Fuente 4

Redline Stealer: Un Enfoque Novedoso

Se ha observado una nueva variante empaquetada del troyano Redline Stealer en la naturaleza, aprovechando el bytecode de Lua para realizar comportamientos maliciosos. Los datos de telemetría de McAfee muestran que esta cepa de malware es muy prevalente, abarcando América del Norte, América del Sur, Europa, Asia y llegando a Australia. La cadena de infección comienza con el abuso de GitHub para alojar el archivo malicioso en la cuenta oficial de Microsoft en el repositorio vcpkg. El archivo zip contiene un instalador MSI que, al ejecutarse, muestra una interfaz de usuario y solicita al usuario que instale el malware en la computadora de un amigo para obtener la versión completa de la aplicación. Durante la instalación, se crean tareas programadas para garantizar la ejecución del malware. La comunicación con el servidor C2 se realiza a través de HTTP y se realizan actividades de robo de información, como capturas de pantalla, que se envían al servidor de los atacantes. Se recomienda mantener una postura de seguridad proactiva y utilizar soluciones de seguridad actualizadas para protegerse contra esta amenaza en constante evolución.

Recomendación: Se recomienda mantener una postura de seguridad proactiva y utilizar soluciones de seguridad actualizadas para protegerse contra esta amenaza en constante evolución.

Indicadores de Compromiso (IoC):

Prioridad: Alta

Fuentes:

• Fuente 1

• Fuente 2

• Fuente 3

• Fuente 4

• Fuente 5

• Fuente 6

Ataque de ransomware compromete información de organización de atención médica en Michigan

La organización de atención médica Cherry Street Services (Cherry Health) de Michigan ha comenzado a notificar a más de 180,000 personas que su información personal fue comprometida en un ataque de ransomware. El incidente ocurrió el 21 de diciembre de 2023 y resultó en la interrupción de ciertos sistemas, lo que sugiere que se pudo haber utilizado ransomware de cifrado de archivos. La información comprometida incluye nombres, direcciones, fechas de nacimiento, números de Seguro Social, números de teléfono, información de seguros de salud, números de identificación de pacientes y de seguros de salud, información de tratamiento, información de recetas y datos de cuentas financieras. Se recomienda a las personas afectadas que monitoreen su crédito y utilicen servicios de protección de identidad. Este ataque se clasifica como 'Malware'. No se encontraron IOC.

Recomendación: Para evitar ataques de ransomware, es importante mantener actualizados los sistemas operativos y el software de seguridad. Además, se recomienda realizar copias de seguridad periódicas de los datos importantes y educar a los empleados sobre las prácticas de seguridad cibernética.

Prioridad: Alta

Fuentes:

• Fuente 1

• Fuente 2

Nuevo backdoor Kapeka utilizado por APT rusa en ataques en Europa del Este

Desde mediados de 2022, se ha observado un backdoor previamente no documentado llamado Kapeka en ataques cibernéticos dirigidos a Europa del Este, incluyendo Estonia y Ucrania. El malware ha sido atribuido al grupo de amenazas persistentes avanzadas (APT) vinculado a Rusia conocido como Sandworm. Kapeka es un backdoor flexible que proporciona a los operadores todas las funcionalidades necesarias para servir como un kit de herramientas en etapa inicial y también para proporcionar acceso a largo plazo al sistema de la víctima. El backdoor se propaga a través de un dropper que se encarga de ejecutar un componente de backdoor en el host infectado y establecer persistencia. Microsoft ha descrito a Kapeka como involucrado en múltiples campañas de distribución de ransomware y capaz de llevar a cabo diversas funciones, como robo de credenciales, ataques destructivos y acceso remoto al dispositivo por parte de los actores de amenazas. El backdoor utiliza una DLL de Windows escrita en C++ y cuenta con una configuración de comando y control (C2) incrustada que se utiliza para establecer contacto con un servidor controlado por los actores de amenazas. Kapeka también es capaz de actualizar su configuración de C2 durante la comunicación con el servidor. Aunque no se conoce el método exacto de propagación del malware, se ha observado que el dropper se obtiene de sitios web comprometidos utilizando la utilidad certutil. Kapeka tiene conexiones conceptuales y de configuración con familias de malware previamente reveladas como GreyEnergy y Prestige, lo que indica que podría ser un sucesor de GreyEnergy en el arsenal de Sandworm. La victimología, la baja frecuencia de avistamientos y el nivel de sigilo y sofisticación del backdoor indican una actividad a nivel de APT, muy probablemente de origen ruso.

Recomendación: Para evitar ataques como el utilizado con el backdoor Kapeka, se recomienda mantener los sistemas operativos y software actualizados con los últimos parches de seguridad. Además, es importante implementar soluciones de seguridad robustas que incluyan firewalls, sistemas de detección y prevención de intrusiones, y soluciones de seguridad de endpoint. También se debe educar a los usuarios sobre las prácticas de seguridad cibernética, como no abrir correos electrónicos o enlaces sospechosos y no descargar archivos adjuntos de fuentes no confiables. Realizar copias de seguridad periódicas de los datos importantes y almacenarlas en un lugar seguro también es una medida recomendada.

Prioridad: Alta

Fuentes:

• Fuente 1

• Fuente 2

• Fuente 3

• Fuente 4

• Fuente 5

• Fuente 6

PHISHING

Desmantelan banda cibernética global implicada en fraude a gran escala.

La Policía Metropolitana, junto con otras agencias de aplicación de la ley a nivel mundial, han desmantelado una banda criminal que utilizaba un servicio tecnológico para facilitar mensajes de texto fraudulentos, lo que llevaba al robo de las víctimas. El fraude se dirigía principalmente a personas jóvenes familiarizadas con Internet. El servicio tecnológico, LabHost, ayudaba a los estafadores a enviar mensajes engañosos y dirigir a las víctimas a sitios web falsos que se asemejaban a servicios legítimos de pago en línea o compras.Los criminales obtenían información de identidad, incluidos números de tarjetas y códigos PIN, lo que resultaba en pérdidas financieras significativas. Aunque no se conoce la cantidad exacta robada, se estima que LabHost generó casi £1 millón en ganancias. Solo en el Reino Unido, se cree que alrededor de 70,000 víctimas fueron engañadas para proporcionar sus datos en línea, y se enviaron mensajes de texto de advertencia a 25,000 víctimas identificadas sobre posibles sitios fraudulentos.Se recomienda a las víctimas buscar orientación en el sitio web de la Policía Metropolitana y se han informado sus casos a los investigadores de fraudes. Las autoridades han asegurado los datos personales descubiertos en los datos obtenidos de LabHost.En cuanto a la clasificación, este caso pertenece a la categoría de 'Phishing'. La recomendación para evitar este tipo de ataque es ser cauteloso al proporcionar información personal en línea y verificar la autenticidad de los sitios web antes de realizar pagos o compras.En cuanto a los IOC, no se encontraron indicadores de compromiso en este caso.

Recomendación: Se recomienda ser cauteloso al proporcionar información personal en línea y verificar la autenticidad de los sitios web antes de realizar pagos o compras.

Prioridad: Alta

Fuentes:

• Fuente 1

• Fuente 2

• Fuente 3

• Fuente 4

VULNERABILIDADES

Brecha de datos de Space-Eyes compromete la seguridad nacional de Estados Unidos

El hacker conocido como IntelBroker afirma haber violado la infraestructura cibernética de Space-Eyes, una empresa de inteligencia geoespacial con sede en Miami. Según IntelBroker, la intrusión fue rápida y se logró acceder a datos sensibles en tan solo 10-15 minutos. Si esta brecha es cierta, tendrá graves repercusiones para la seguridad nacional de Estados Unidos. Los datos robados incluyen documentos altamente confidenciales sobre los servicios de Space-Eyes para la seguridad nacional dentro del gobierno de Estados Unidos. Además, se filtraron archivos que contienen información sobre grupos delictivos sancionados, discusiones sobre figuras relacionadas con el terrorismo y datos personales de individuos de todo el mundo. Esta brecha destaca la necesidad de fortalecer las medidas de autenticación, realizar auditorías regulares de ciberseguridad y enfocarse en prácticas de codificación seguras para prevenir el acceso no autorizado y las filtraciones de datos. No se encontraron Indicadores de Compromiso (IOC) en este caso.

Recomendación: Para evitar este tipo de ataques, es fundamental fortalecer las medidas de autenticación, implementar auditorías regulares de ciberseguridad y enfocarse en prácticas de codificación seguras. Además, se recomienda educar a todos los usuarios sobre las mejores prácticas de seguridad y estar atentos a posibles señales de actividad sospechosa. Mantener los sistemas y aplicaciones actualizados también es crucial para mitigar los riesgos de vulnerabilidades conocidas.

Prioridad: Alta

Fuentes:

• Fuente 1

• Fuente 2

• Fuente 3

• Fuente 4

• Fuente 5

• Fuente 6

• Fuente 7

Telegram soluciona vulnerabilidad en su aplicación de Windows que permitía ejecutar scripts de Python

Telegram ha solucionado una vulnerabilidad de día cero en su aplicación de escritorio para Windows que permitía eludir las advertencias de seguridad y ejecutar automáticamente scripts de Python. La vulnerabilidad se basaba en un error tipográfico en el código fuente de Telegram para Windows, que permitía que los archivos .pyzw se ejecutaran automáticamente sin una advertencia de seguridad. Los atacantes podían aprovechar esto enviando archivos maliciosos disfrazados como videos compartidos. Telegram ha corregido el error mediante una solución en el lado del servidor y ahora los archivos .pyzw se abren con un programa elegido por el usuario en lugar de ejecutarse automáticamente en Python. La recomendación para evitar este tipo de ataque es mantener actualizada la aplicación de Telegram y tener cuidado al abrir archivos desconocidos.

Recomendación: Mantener actualizada la aplicación de Telegram y tener cuidado al abrir archivos desconocidos.

Prioridad: Alta

Fuentes:

• Fuente 1

• Fuente 2

• Fuente 3

• Fuente 4

• Fuente 5

• Fuente 6

• Fuente 7

• Fuente 8

Actualización de seguridad de Chrome: 23 vulnerabilidades corregidas

Google ha anunciado una actualización integral para los canales Chrome y Extended Stable. La última versión, 124.0.6367.60/.61 para Windows y Mac y 124.0.6367.60 para Linux, aborda 23 vulnerabilidades de seguridad. Esta actualización demuestra el compromiso continuo de Google de proteger a los usuarios contra las amenazas cibernéticas en constante evolución. Se han corregido vulnerabilidades de alta a baja gravedad, y Google ha recompensado a los investigadores que informaron sobre estas vulnerabilidades. Se recomienda a los usuarios actualizar su navegador Chrome a la última versión para beneficiarse de estas mejoras de seguridad.

Recomendación: Se recomienda a los usuarios actualizar su navegador Chrome a la última versión para beneficiarse de las mejoras de seguridad.

Prioridad: Alta

Fuentes:

• Fuente 1

• Fuente 2

• Fuente 3

• Fuente 4

• Fuente 5

• Fuente 6

• Fuente 7

• Fuente 8

Ataques masivos de fuerza bruta contra servicios VPN y SSH

Cisco Talos ha detectado un aumento global en los ataques de fuerza bruta contra diversos objetivos, incluyendo servicios de Red Privada Virtual (VPN), interfaces de autenticación de aplicaciones web y servicios SSH desde al menos el 18 de marzo de 2024. Estos ataques parecen originarse desde nodos de salida de TOR y una variedad de túneles y proxies de anonimización. Dependiendo del entorno objetivo, estos ataques pueden resultar en acceso no autorizado a la red, bloqueo de cuentas o condiciones de denegación de servicio. El tráfico relacionado con estos ataques ha aumentado con el tiempo y es probable que siga en aumento. Los servicios afectados conocidos incluyen Cisco Secure Firewall VPN, Checkpoint VPN, Fortinet VPN, SonicWall VPN, RD Web Services, Miktrotik, Draytek y Ubiquiti. Se recomienda tomar medidas de mitigación específicas según el servicio afectado. No se han encontrado indicadores de compromiso (IOC).

Recomendación: Para mitigar estos ataques, se recomienda implementar medidas de seguridad adicionales, como el uso de contraseñas fuertes y políticas de bloqueo de cuentas. Además, es importante mantenerse actualizado con las últimas recomendaciones de seguridad proporcionadas por el proveedor del servicio VPN o SSH afectado.

Prioridad: Alta

Fuentes:

• Fuente 1

• Fuente 2

• Fuente 3

• Fuente 4

• Fuente 5

• Fuente 6

• Fuente 7

• Fuente 8

Resumen de amenazas activas y vulnerabilidades

En este resumen se abordan diversas amenazas activas y vulnerabilidades que han sido identificadas recientemente. Se destaca la presencia de un comportamiento sospechoso en los sistemas de Gigabyte, que podría indicar la existencia de una puerta trasera. Además, se menciona la vulnerabilidad EternalBlue, desarrollada por la Agencia de Seguridad Nacional de Estados Unidos, la cual ha sido utilizada en ataques como WannaCry y NotPetya. Se brindan recomendaciones para mitigar estos tipos de ataques, como mantener los sistemas actualizados y utilizar soluciones de seguridad confiables. No se encontraron IOC en los artículos mencionados.

Recomendación: Para evitar ser víctima de ataques que aprovechen vulnerabilidades como la mencionada en los sistemas de Gigabyte, se recomienda mantener los sistemas actualizados con los últimos parches de seguridad. Además, es importante utilizar soluciones de seguridad confiables que puedan detectar y bloquear posibles amenazas. En el caso de la vulnerabilidad EternalBlue, se recomienda aplicar los parches de seguridad correspondientes y utilizar soluciones de seguridad que puedan detectar y bloquear los intentos de explotación de esta vulnerabilidad.

Prioridad: Alto

Fuentes:

• Fuente 1

• Fuente 2

• Fuente 3

• Fuente 4

• Fuente 5

• Fuente 6

• Fuente 7

• Fuente 8

Resumen de Indicadores de Compromiso (IoC)