Las principales amenazas, herramientas y consejos de ciberseguridad (10 de febrero)

En ciberseguridad, la raja más pequeña puede conducir a las mayores infracciones. Una secreto de criptográfico filtrada, un error de software sin parpadear o un cubo de almacenamiento en la montón sucio, cada uno parece último hasta que se convierte en el punto de entrada para un ataque.

Esta semana, hemos trillado que los ciberdelincuentes se convierten en debilidades pasadas por stop en grandes amenazas de seguridad, lo que demuestra una vez más que ningún sistema es demasiado pequeño para ser atacado. La pregunta no es si los atacantes encontrarán una forma, es si estará preparado cuando lo hagan.

Desglosemos lo que necesitas asimilar.

⚡ Amenaza de la semana

Microsoft advierte sobre los ataques que explotan las teclas de la máquina ASP.NET -Los actores de amenaza están explotando las claves de la máquina ASP.NET divulgadas públicamente para inyectar y ejecutar código solapado responsable de editar el entorno de Godzilla a posteriori de la explotación. Microsoft dijo que ha identificado más de 3.000 claves divulgadas públicamente que podrían estilarse para este tipo de ataques denominados inyección de código ViewState. La compañía igualmente dijo que eliminó los artefactos relacionados con la clave de “instancias limitadas” donde se incluyeron en su documentación.

🔔 Telediario principales

• Múltiples defectos de seguridad están bajo explotación -Los actores maliciosos están explotando fallas de seguridad recientemente divulgadas en SimpleHelp Remote Desktop Software (CVE-2024-57726, CVE-2024-57727 y CVE-2024-57728) como parte de un ataque sospechoso de ransomware. Por separado, se ha enfrentado que los grupos de delitos cibernéticos rusos explotan una equivocación que afecta la utensilio de Archiver de 7 Zip (CVE-2025-0411) para esquivar las protecciones de Mark-of-the-Web (MOTW) en los sistemas de Windows y entregar el malware Smokeloader como parte de ataques dirigidos a entidades ucranianas. Por postrero, la Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. (CISA) advirtió que una equivocación de seguridad que afecta el software de dirección de activos Centric de Trimble CityWorks (CVE-2025-0994) ha sido explotada activa en la naturaleza.
• Los pagos de ransomware caen a $ 813.5M en 2024 – Los ataques de ransomware obtuvieron grupos de delitos cibernéticos $ 813.5 millones en 2024, marcando una caída significativa de $ 1.25 mil millones en 2023. Dicho esto, 2024 igualmente fue informante del decano comba de casos anuales de ransomware desde 2021, alcanzando los asombrosos 5,263 ataques, un aumento del 15% de año- con un año. El decadencia se atribuye al creciente éxito de la aplicación de la ley en el desmantelamiento de pandillas de ransomware, una decano conciencia entero sobre la amenaza y un ecosistema fragmentado donde se sabe que los actores de lobo solitario buscan pagos de rescate más pequeños.
• La campaña temática de trabajo de Lazarus ofrece malware JavaScript – El Familia Lazarus de Corea del Ideal se ha vinculado a una campaña activa que aprovecha las ofertas falsas de trabajo de LinkedIn en los sectores de criptomonedas y viajes para ofrecer malware capaz de infectar Windows, MacOS y sistemas operativos Linux. Bitdefender, que identificó la actividad, dijo que probablemente caiga bajo el clúster de entrevista contagioso, aunque el malware JavaScript utilizado en los ataques es diferente de las muestras de Beaverail utilizadas en este postrero.
• SparkCat usa aplicaciones de Android e iOS para robar datos – Una nueva campaña de malware denominada Sparkcat ha trabajador un conjunto de aplicaciones falsas en las respectivas tiendas de aplicaciones de Apple y Google para robar frases mnemónicas de las víctimas asociadas con billeteras de criptomonedas. El incremento marca una de las primeras instancias en las que un robador con capacidades de agradecimiento de caracteres ópticos (OCR) se ha descubierto en la App Store de Apple. Desde entonces, las aplicaciones ofensivas se han eliminado de los dos App Storefronts.
• Orgs de Kirguistán y Turkmenistán atacados por Lynx silencioso -Un colección de piratería nunca ayer trillado rastreado como Lynx silencioso ha dirigido embajadas, abogados, bancos respaldados por el gobierno y colección de expertos ubicados en Kirguistán y Turkmenistán para desplegar un bandera Powershell que utiliza Telegram para comando y control. La actividad, atribuida a un actor de amenaza de origen de Kazajstán-origen con un nivel medio de confianza, comparte superposiciones tácticas con otro nombre de colección de piratería Yorotrooper (igualmente conocido como Sturgeonphisher), que ha sido vinculado a ataques dirigidos a la Comunidad de Estados Independientes (IC) que usan PowerShell y herramientas de golang.

️‍🔥 tendencias cves

Su software de remisión podría estar ocultando fallas de seguridad peligrosas, ¡no espere hasta que sea demasiado tarde! Actualice ahora y manténgase a la vanguardia de las amenazas ayer de que lo tomen por sorpresa.

La serie de esta semana incluye: CVE-2025-25064, CVE-2025-25065 (colaboración Zimbra), CVE-2024-57968, CVE-2025-25181 (Advantive Veracore), CVE-2025-20124, CVE-2025-20125 (Cisco Identity Services Engine), CVE-2025-23114 (Veeam Backup), CVE-2024-56161 (AMD), CVE-2025-21415 (Azure AI Face Service), CVE-2024-53104 (Linux Kernel/Android), CVE- 2022-22706 (ARM), CVE-2025-23369 (Github Enterprise Server), PSV-2023-0039, PSV-2024-0117 (Netgear), CVE-2025-24118 (Apple), CVE-2025-24648, CVE- 2024-43333 (complemento de mejoras de empresa y sitio) y CVE-2025-24734 (mejor busque y reemplace el complemento).

📰 aproximadamente del mundo cibernético

• La campaña de ataque de fuerza bruta se dirige a dispositivos de redes -Los cazadores de amenazas advierten de un ataque con contraseña de fuerza bruta a gran escalera utilizando casi 2.8 millones de direcciones IP para adivinar las credenciales para una amplia abanico de dispositivos de redes, incluidos los de Ivanti, Palo Stop Networks y Sonicwall, según la Fundación SHOWOWSERVER. Las direcciones IP se encuentran principalmente en Brasil, Rusia, Turquía, Argentina, Irak y Marruecos, entre otros. Estas direcciones IP pertenecen a dispositivos IoT de varios proveedores como Mikrotik, Huawei, Cisco, BOA y ZTE, que comúnmente están infectados por malware Botnet.
• Wolf raro va tras Rusia – El actor de amenaza conocido como raro lobo (igualmente conocido como Rezet) se ha relacionado con un nuevo conjunto de ataques cibernéticos dirigidos a empresas industriales rusas en enero de 2025. Los ataques implican el uso de señuelos de phishing que emplean temas relacionados con invitaciones de seminarios para entregar malware . Las organizaciones rusas en diversas industrias igualmente han sido atacadas por una campaña a gran escalera diseñada para propagar Nova Stealer, una nueva horquilla comercial de Keylogger de serpiente.
• Los agentes de IA pueden convertirse en un vector para los ataques de prueba de tarjetas -Se sabe que los actores de amenaza utilizan programas BOT automatizados para probar tarjetas robadas en múltiples sitios web de comercio electrónico. Dichos ataques de prueba de tarjetas generalmente explotan los detalles de la polímero de crédito robado a través de compras pequeñas y desapercibidas para compulsar tarjetas activas para un fraude más amplio. “Toda esta operación está mucho automatizada, lo que hace que sea un desafío para los sistemas de detección de fraude para atrapar estas transacciones fraudulentas en tiempo verdadero”, dijo Group-IB. “Para cuando el titular de la polímero verdadero nota una actividad inusual, los estafadores ya pueden tener validado múltiples tarjetas y las usaron para transacciones no autorizadas más grandes”. Con el inicio de los agentes de IA para realizar tareas basadas en la web en nombre de los usuarios, la compañía dijo que las herramientas presentan nuevos riesgos para la industria bancaria, lo que permite la automatización de pruebas de tarjetas y operaciones de fraude a escalera.
• Los cubos AWS S3 abandonados se pueden reutilizar para ataques de la sujeción de suministro – Una nueva investigación ha enfrentado que es posible registrar cubos de Amazon S3 abandonados para organizar ataques de la sujeción de suministro a escalera. WatchTowr Labs dijo que descubrió aproximadamente de 150 cubos de Amazon S3 que se habían utilizado previamente en productos de software comerciales y de código despejado, gobiernos y tuberías de implementación/aggiornamento de infraestructura. Luego los registró por solo $ 420.85 con los mismos nombres. Durante un período de dos meses, la compañía de seguridad cibernética dijo que los cubos en cuestión recibieron más de 8 millones de solicitudes HTTP para actualizaciones de software, archivos JavaScript, imágenes de máquina potencial, binarios precompilados para Windows, Linux y MacOS y configuraciones SSL-VPN , entre otros. Esto igualmente significaba que un actor de amenazas en posesión de estos cubos podría tener respondido a las solicitudes con una aggiornamento de software nefasto, plantillas de CloudFormation que otorgan entrada no facultado a un entorno AWS y ejecutables maliciosos. Dijo que estas redes, WatchTowr, se originaron en las redes gubernamentales de los Estados Unidos, el Reino Unido, Polonia, Australia, Corea del Sur, Turquía, Taiwán y Pimiento; Redes militares, compañías Fortune 500, plataformas de transporte instantánea y universidades. Los hallazgos resaltan una vez más el peligro de seguridad asociado con la infraestructura abandonada o caducada, y cómo las referencias del código fuente a los activos de la montón inexistentes pueden tener graves ramificaciones de la sujeción de suministro. “Creemos que en las manos equivocadas, la investigación que hemos realizado podría tener llevado a ataques de la sujeción de suministro que superaron e impactaron todo lo que nosotros como industria hemos trillado hasta ahora, o con más claridad, nos habríamos avergonzado afable Bear e hizo que sus aventuras de Solarwinds se vean aficionadas e insignificantes “, dijo la compañía.
• Cinco luceros de la nación liberan la práctico para dispositivos de borde -Las agencias de ciberseguridad de Five Eyes en Australia, Canadá, Nueva Zelanda, el Reino Unido y los Estados Unidos, anejo con Chechia y Japón, han publicado una orientación conjunta para dispositivos de borde de red, instando a los fabricantes de dispositivos a mejorar la visibilidad forense mediante la integración de la tala segura por defecto para ayudar a los defensores a detectar ataques e investigar incidentes. Todavía se recomienda que las organizaciones sigan las guías de endurecimiento de los proveedores, suscriban a las notificaciones y avisos de los proveedores, mantengan los dispositivos siempre actualizados, habiliten la registro centralizado, apliquen la autenticación multifactor (MFA), desactive la funcionalidad no utilizada, mantenga los inventivos de dispositivos detallados, rastreen los cambios de configuración, detecten el hardware de hardware Cambios, revisar las políticas de seguridad, implementar el control de entrada basado en roles e incluir el compromiso del dispositivo Edge en sus planes de respuesta a incidentes. El incremento se produce a medida que los electrodomésticos se están convirtiendo cada vez más en un objetivo productivo para obtener entrada a entornos objetivo.
• Según los informes, el Reino Unido solicita entrada a la puerta trasera a los datos de Apple iCloud – Se dice que los funcionarios de seguridad en el Reino Unido ordenaron a Apple que creara una puerta trasera para entrar al contenido de iCloud de cualquier becario de Apple. La demanda, reportada por el Washington Post, “requiere la capacidad caudillo para ver el material totalmente encriptado, no solo la presencia para descifrar una cuenta específica, y no tiene precedentes conocidos en las principales democracias”. Se dice que la Orden fue emitida por el Profesión del Interior del Reino Unido bajo la Ley de Puntos de Investigación (IPA), igualmente apodó la Carta de los Snoopers. En respuesta, se demora que Apple deje de ofrecer almacenamiento encriptado, específicamente la protección de datos vanguardia, en el Reino Unido ni la compañía ni los funcionarios gubernamentales del Reino Unido han comentado formalmente sobre el asunto. En una comunicación compartida con BBC, Privacy International calificó el movimiento como un “ataque sin precedentes” a los datos privados de los individuos, y que “establece un precedente muy perjudicial”. Mientras que Apple ofrece dos niveles de criptográfico para la montón (protección de datos standard y protección de datos vanguardia, el preparatorio signo los datos de iCloud y almacena las claves de criptográfico en sus propios centros de datos. Encima, solo ciertas categorías de datos, como datos de lozanía y contraseñas, están encriptadas de extremo a extremo. La protección de datos vanguardia, en contraste, es una función de suscripción que proporciona criptográfico de extremo a extremo (E2EE) para copias de seguridad de iCloud. Los servicios de seguridad y los legisladores han rechazado constantemente el uso creciente de los servicios de criptográfico de extremo a extremo, argumentando que podrían disuadir los esfuerzos para combatir delitos graves como el terrorismo y el despotismo sexual inmaduro, así como ayudar a los delincuentes a ocultar la actividad ilícita.
• “Hacker peligroso” arrestado en España – Las autoridades policiales españoles han anunciado el arresto de un individuo sospechoso de realizar ataques cibernéticos contra docenas de organizaciones. El hombre no identificado fue arrestado en la ciudad de Calpe en la provincia de Alicante de España por presuntamente arrostrar a sitio ataques a más de 40 organizaciones y filtrar datos robados bajo el seudónimo “Natohub”. Esto incluyó a la OTAN, las Naciones Unidas, el Ejército de los EE. UU. Y la Estructura Internacional de Aviación Civil (ICAO). Todavía está destacado de apuntar a organizaciones en España, incluida la menta, las universidades, las entidades gubernamentales y las agencias de aplicación de la ley del país. “El sospechoso, que tenía un amplio conocimiento de las computadoras, había rematado establecer una red tecnológica compleja mediante el uso de mensajes anónimos y aplicaciones de navegación, a través de las cuales había rematado ocultar sus huellas y así dificultar su identificación”, la policía doméstico “, la policía doméstico dicho.

🎥 Seminario web entendido

• Desde el código hasta el tiempo de ejecución: consulte cómo ASPM transforma la protección de la aplicación – Únase a nuestro próximo seminario web con Amir Kaushansky de Palo Stop Networks y descubra cómo ASPM transforma la seguridad de las aplicaciones. Aprenda a normalizar los conocimientos de código con datos de tiempo de ejecución, las brechas de seguridad cerradas y cambiar de correcciones reactivas a defensa proactiva. Empodera a tu equipo con una protección holística más inteligente contra las amenazas modernas.
• De la deuda a la defensa: cómo detectar y arreglar las brechas de identidad – Únase a este seminario web regalado y aprenda cómo cerrar las brechas de identidad y blindar sus defensas. Los expertos Karl Henrik Smith y Adam Boucher revelarán cómo la evaluación de identidad segura de Okta optimiza los procesos, prioriza las soluciones críticas y a prueba de su organización de identidad para achicar los riesgos y optimizar los medios.

PD ¿Conoce a cierto que pueda usarlos? Compártelo.

🔧 Herramientas de ciberseguridad

• Baitroute (honeypot) – Es una utensilio que crea puntos finales web vulnerables falsos para atrapar a los piratas informáticos en el ACT. Cuando un atacante intenta explotar estos sitios de señuelo, obtendrá una alerta instantánea con detalles como su dirección IP e información de solicitud. Es tratable integrarse con sus proyectos existentes utilizando GO, Python o JavaScript, y viene con reglas listas para usar para que pueda comenzar a proteger su sitio de inmediato.
• Mesa de trabajo de volatilidad -Es una GUI gratuita y de código despejado para los forenses de memoria que acelera el observación y recorta las molestias de la segmento de comandos. Se detecta automáticamente los sistemas, guardamano la configuración y admite Windows, Mac y Linux, haciendo que las investigaciones digitales sean más simples y rápidas.

🔒 Consejo de la semana

Mantenga sus interacciones de IA privadas y seguras – Las herramientas de IA como los chatbots y los asistentes de voz recopilan y almacenan sus datos, que pueden ser pirateados, mal utilizados o incluso influir en sus decisiones. Evite compartir datos personales (contraseñas, finanzas o información confidencial) en los chats de IA. Apague los permisos innecesarios (como el entrada al micrófono o la cámara) cuando no sea necesario. Use servicios de IA que permitan la asesinato de datos y opte por no acoger el seguimiento cuando sea posible. Siempre verifique las respuestas de IA ayer de entregarse en manos en ellas. Sus datos son valiosos, no regalen más de lo necesario.

Conclusión

Los desarrollos de esta semana demuestran una vez más que la ciberseguridad no es una posibilidad única sino una batalla en curso. Ya sea cerrando lagunas, mantenerse por delante de las amenazas emergentes o adaptarse a nuevas estrategias de ataque, la secreto para la resiliencia es la vigilancia.

Sigue parchando, sigue cuestionando y sigue aprendiendo. Nos vemos la próxima semana con más ideas de la primera segmento de ciberseguridad.