Cisco 0 días, Registro DDoS, Lockbit 5.0, BMC Bugs, ShadowV2 Botnet y más

La ciberseguridad nunca se detiene, y siquiera los piratas informáticos. Mientras terminaste la semana pasada, ya estaban en marcha nuevos ataques.

Desde errores de software ocultos hasta ataques masivos de DDoS y nuevos trucos de ransomware, el recopilación de esta semana le brinda los mayores movimientos de seguridad para asimilar. Ya sea que esté protegiendo sistemas secreto o bloqueando aplicaciones en la abundancia, estas son las actualizaciones que necesita antiguamente de tomar su próxima audacia de seguridad.

Eche un vistazo rápido para comenzar su semana informada y un paso delante.

⚡ Amenaza de la semana

Cisco fallas de 0 días bajo ataque -Las agencias de ciberseguridad advirtieron que los actores de amenaza han explotado dos fallas de seguridad que afectan los firewalls de Cisco como parte de los ataques de día cero para entregar familias de malware previamente indocumentadas como Rayinitiator y Line Viper. El malware Rayinitiator y Line Viper representan una proceso significativa en la utilizada en la campaña previo, tanto en sofisticación como en su capacidad para eludir la detección. La actividad implica la explotación de CVE-2025-20362 (puntaje CVSS: 6.5) y CVE-2025-20333 (puntaje CVSS: 9.9) para evitar la autenticación y ejecutar código desconfiado en aparatos susceptibles. Se evalúa que la campaña está vinculada a un liga de amenazas denominado Arcanedoor, que se atribuyó a un supuesto liga de piratería vinculado a China conocido como UAT4356 (incluso conocido como Storm-1849).

🔔 Parte principales

• Nimbus Manticore usa minijunk en ataques críticos de infra -Un liga cibernético encuadrado con Irán ha ampliado sus operaciones más allá de sus tradicionales terrenos de caza del Medio Oriente para atacar a las organizaciones de infraestructura crítica en Europa occidental utilizando variantes de malware y tácticas de ataque en constante proceso. Nimbus Manticore, que se superpone con UNC1549 o tormenta de arena de humo, se ha observado que se dirige a las compañías de fabricación de defensa, telecomunicaciones y aviación en Dinamarca, Portugal y Suecia. El centro de la campaña es minijunk, una puerta trasera ofuscada que le da al atacante camino persistente a sistemas infectados, y Minibrowse, un robador atolondrado con versiones separadas para robar credenciales de los navegadores Chrome y Edge. MiniJunk es una traducción actualizada de Minibike (incluso conocido como Slugresin), con los correos electrónicos que dirigen a las víctimas a las páginas de inicio de sesión relacionadas con el trabajo que parecen estar asociadas con compañías como Airbus, Boeing, Flydubai y Rheinmetall. En una nueva ascenso de sus tácticas, se ha observado Nimbus Manticore utilizando el servicio SSL.com a partir de mayo de 2025 para firmar su código y ocurrir el malware como programas de software legítimos, lo que lleva a una “disminución drástica en las detecciones”.
• ShadowV2 apunta a Docker para ataques DDoS -Una nueva campaña de BOT ShadowV2 está convirtiendo los ataques distribuidos de denegación de servicio (DDoS) en un negocio de inquilinato completo al atacar contenedores de Docker mal configurados en AWS. En espacio de esperar en las imágenes maliciosas preBuidas, los atacantes construyen contenedores en la máquina de la víctima para editar una rata basada en GO que puede editar ataques DDoS. La descargo exacta del enfoque no está claro, aunque los investigadores de DarkTrace sugieren que puede favor sido una forma de aminorar las huellas forenses para importar un contenedor desconfiado. Una vez instalado, el malware envía una señal del corazón al servidor C2 cada segundo, mientras que incluso son vistas para nuevos comandos de ataque cada cinco segundos.
• Cloudflare mitiga el ataque DDoS más ilustre en el récord -La compañía de rendimiento y seguridad de la web Cloudflare dijo que sus sistemas bloquearon un ataque de denegación de servicio distribuido (DDoS) de récord récord que alcanzó su punto mayor en 22.2 terabits por segundo (TBP) y 10.600 millones de paquetes por segundo (BPP), y duró solo 40 segundos. El ataque estaba dirigido a una sola dirección IP de una compañía de infraestructura de red europea sin nombre. Se cree que el ataque puede ser impulsado por la botnet de Aisuru.
• VIPER VANE vinculado a campañas maliciosas que distribuyen malware -Una operación de cibercrimen de detención masa conocida como Vane Viper que ha estado activa durante más de una división es compatible con una plataforma de publicidad digital comercial con un pasado a cuadros. Vane Viper aprovecha cientos de miles de sitios web comprometidos y anuncios maliciosos que redirigen a los usuarios de la web a destinos como kits de exploits, malware y sitios web incompletos. Los hallazgos sugieren que Vane Viper no está actuando como un intermediario involuntario, sino que es un habilitador cómplice y un participante activo en operaciones maliciosas. Incluso comparte paralelos con Vextrio Viper, ya que entreambos surgieron de Europa del Este cerca de de 2015 y están controlados por la diáspora rusa en Europa y Chipre. “URL Solutions, Webzilla y Adtech Holding forman un trío de empresas estrechamente conectado: dominios registrados en masa a través de un registrador encendido en cibercrimen, alojado en infraestructura operada por una compañía que ha alojado todo, desde Methbot hasta desinformación patrocinada por el estado, y cargas aperos entregadas a través de una red publicitaria que viene a la intemperie en malvertimiento”, dice Informlox. “Propellerads no solo ha girado una” paisaje gorda “al exageración criminal de su plataforma, sino que los indicadores (…) sugieren, con confianza moderada a suscripción, que varias campañas de fraude publicitarias se originaron en la infraestructura atribuida a Propellerads”.
• 2 nuevos errores Supermicro BMC permiten implantar firmware desconfiado -Los servidores que se ejecutan en las placas saco vendidas por Supermicro contienen vulnerabilidades de severidad media que pueden permitir a los piratas informáticos instalar remotamente un firmware desconfiado que se ejecuta incluso antiguamente del sistema activo, proporcionando una persistencia sin precedentes. Dicho esto, la advertencia es que el actor de amenaza debe tener camino funcionario a la interfaz de control BMC para realizar la puesta al día, o distribuirlas como parte de un ataque de la sujeción de suministro al comprometer los servidores utilizados para encajar actualizaciones de firmware y reemplazar las imágenes originales con otras maliciosas, todo mientras mantiene la firma válida. Supermicro dijo que ha actualizado el firmware BMC para mitigar las vulnerabilidades, y agregó que actualmente está probando y validando los productos afectados. Se desconoce el estado coetáneo de la puesta al día.

️‍🔥 tendencias cves

Los piratas informáticos no esperan. Explotan vulnerabilidades recientemente reveladas en cuestión de horas, transformando un parche perdido o un error oculto en un punto crítico de defecto. Una CVE sin parpadear es todo lo que se necesita para rajar la puerta a un compromiso a gran escalera. A continuación se presentan las vulnerabilidades más críticas de esta semana, que hacen olas en toda la industria. Revise la repertorio, priorice el parche y suspensión la ventana de oportunidad antiguamente que los atacantes.

La repertorio de esta semana incluye: CVE-2025-20362, CVE-2025-203333, CVE-2025-20363 (Cisco), CVE-2025-59689 (Libraesva ESG), CVE-2025-20352 (CISCO IOS), CVE-2025-10643, CVE-2025-10644 Repairit), CVE-2025-7937, CVE-2025-6198 (Supermicro BMC), CVE-2025-9844 (Salesforce CLI), CVE-2025-9125 (lectora Desktop), CVE-2025-23298 (NVIDIA MERLIN), CVE-2025-59545 (DOTTATNUKE) CVE-2025-34508 (Zendto), CVE-2025-27888 (Apache Druid Proxy), CVE-2025-10858, CVE-2025-8014 (Gitlab) y CVE-2025-54831 (Airflow de Apache).

📰 cerca de del mundo cibernético

• Microsoft ofrece ESU improcedente en la UE – Microsoft ha decidido ofrecer actualizaciones de seguridad extendidas gratuitas para los usuarios de Windows 10 en el Dominio Económica Europea (EEE), luego de la presión del Agrupación Euroconsumers. “Nos complace asimilar que Microsoft proporcionará una opción de actualizaciones de seguridad extendidas (ESU) sin costo para los usuarios de los consumidores de Windows 10 en el Dominio Económica Europea (EEE)”, dijo EuroConsumers. En otras regiones, los usuarios deberán habilitar la copia de seguridad de Windows o satisfacer $ 30 por el año o canjear 1,000 puntos de galardón de Microsoft. Vale la pena señalar que Windows 10 alcanzó el final del soporte (EOS) el 14 de octubre de 2025.
• Cargador de Olymp trillado en la naturaleza – Se ha trillado un nuevo cargador de malware llamado Olymp Loader en la naturaleza, que se propaga a través de repositorios de GitHub, o a través de herramientas disfrazadas como software popular como Putty, OpenSSL, Teleobjetivo e incluso un mod de contraportada llamado Classic Offensive. Escrito en jerga de ensamblaje, la posibilidad de malware como servicio (MAAS) proporciona módulos de robador incorporados, incluida una traducción personalizada de Browsersnatch que está acondicionado en GitHub. Se ha enemigo que las campañas que utilizan OLYMP entregan una variedad de robadores de información y troyanos de camino remoto como Lumma, Raccoon, Webrat (incluso conocido como SalatStealer) y Radiofuente Rat. La aparejo fue anunciada por primera vez por un tendero llamado Olympo en Hackforums el 5 de junio de 2025, como una botnet, antiguamente de cambiar a un cargador y un cripter. “El tendero de malware ha publicado una hoja de ruta que proxenetismo el OLYMP como un paquete que comprende Botnet Olymp, Olymp Loader, Olymp Crypter, un servicio de instalación y una aparejo de escaneo de archivos para las pruebas antivirus”, dijo Outpost24. “Queda por ver si Olympo puede sostener y apoyar un conjunto de productos de malware más amplio con el tiempo”. De todos modos, la aparición de otra pila de Crimeware en conjunto puede aminorar aún más la barrera de entrada para actores de amenazas menos experimentados, lo que les permite valer campañas generalizadas a escalera internamente de un corto período de tiempo.
• Los anuncios maliciosos de Facebook conducen al malware JSteal – Los investigadores de seguridad cibernética han revelado una campaña en curso que utiliza anuncios falsos en Facebook y Google para distribuir versiones premium de plataformas comerciales como TradingView de forma gratuita. Según Bitdefender, la actividad incluso se ha expandido a YouTube, donde los anuncios patrocinados en la plataforma se están utilizando para dirigir a los usuarios a descargas con malware que roban credenciales y compromisos de cuentas. Estos anuncios se publican a través de cuentas de YouTube verificadas legítimas pero comprometidas para cumplir con los anuncios. Los atacantes se esfuerzan para cerciorarse de que los canales secuestrados imiten el canal oficial de la paisaje comercial al reutilizar la marca y las listas de reproducción de este final para originar credibilidad. Se estima que un video no lista subido por el canal renombrado, titulado “Método secreto de TradingView, secreto tirado que no quieren que sepas”, acumuló más de 182,000 visitas a través de publicidad agresiva. “El estado no cotizado es deliberado, por supuesto. Al no ser de búsqueda pública, estos videos maliciosos evitan informes casuales y moderación de la plataforma”, dijo Bitdefender. “En cambio, se muestran exclusivamente a través de ubicaciones de anuncios, asegurando que alcancen sus objetivos mientras permanecen ocultos a la paisaje pública”. Los ataques finalmente condujeron al despliegue de malware conocido como JSteal (incluso conocido como Weevilproxy) para robar datos confidenciales.
• Lockbit 5.0 analizado -Los actores de amenaza detrás del ransomware Lockbit han publicado una traducción “significativamente más peligrosa”, Lockbit 5.0, en su sexto aniversario, con técnicas avanzadas de ofuscación y anti-análisis, al tiempo que es capaz de apuntar a los sistemas Windows, Linux y ESXI. “La traducción 5.0 incluso comparte las características del código con Lockbit 4.0, incluidos algoritmos de hashing idénticos y métodos de resolución de API, lo que confirma que esta es una proceso de la saco de código flamante en espacio de una imitación”, dijo Trend Micro. “La preservación de las funcionalidades centrales, al tiempo que agrega nuevas técnicas de esparcimiento, demuestra la táctica del liga de progreso incremental a su plataforma de ransomware”. Puede que Lockbit no sea el liga de ransomware más prolífico que alguna vez fue desde que su infraestructura fue interrumpida en una operación de aplicación de la ley a principios del año pasado, pero los resultados muestran que sigue siendo tan agresiva como siempre cuando se proxenetismo de refinar y retornar a redactar sus tácticas. “El binario de Windows utiliza una pesada ofuscación y embalaje: carga su carga útil a través de la consejo de DLL al implementar técnicas anti-análisis como ETW parches y terminaciones de servicios de seguridad”, dijo la compañía. “Mientras tanto, la reforma de Linux recientemente descubierta mantiene una funcionalidad similar con opciones de confín de comandos para atacar directorios y tipos de archivos específicos. La reforma ESXi se dirige específicamente a los entornos de virtualización de VMware, diseñados para resumir infraestructuras de máquina aparente enteras en un solo ataque”.
• Microsoft bloquea el camino a los servicios utilizados por la pelotón marcial israelí – Microsoft ha revelado que “cesó y desactivó” un conjunto de servicios a la Pelotón 8200 internamente del Profesión de Defensa de Israel (IMOD) que se utilizaron para permitir la vigilancia masiva de civiles en Lazada y Cisjordania. Dijo que encontró evidencia “relacionada con el consumo de IMOD de la capacidad de almacenamiento de Azure en los Países Bajos y el uso de servicios de IA”. El acuerdo secreto salió a la luz el mes pasado posteriormente de un mensaje de The Guardian, pegado con la revista +972 y la llamamiento circunscrito, que reveló cómo el servicio de Azure de Microsoft se estaba utilizando para juntar y procesar millones de llamadas telefónicas civiles palestinas realizadas cada día en Lazada y Cisjordania. El diario informó que el reservas de llamadas interceptadas ascendió a 8,000 terabytes de datos y se mantuvo en un centro de datos de Microsoft en los Países Bajos. Los datos recopilados se han trasladado fuera del país y está siendo planeado para ser transferido a la plataforma de abundancia de servicios web de Amazon.
• Los grupos de ransomware usan claves robadas de AWS para violar la abundancia -Las pandillas de ransomware están utilizando las claves de Amazon Web Services (AWS) almacenadas en entornos locales, como los servidores de copia de seguridad de Veeam, para pivotar en la cuenta de AWS de una víctima y robar datos con la ayuda del situación de explotación de PACU AWS, convirtiendo lo que comenzó como un evento en preparación en un compromiso en la abundancia. “Los actores de amenazas se están volviendo cada vez más expertos en explotar entornos de nubes, aprovechando las claves de AWS comprometidas, apuntar a servidores de respaldo y usar marcos de ataque avanzados para eludir la detección”, dijo Varonis.
• Meta-revela la opción sin anuncios en el Reino Unido -Meta ha osado una experiencia sin anuncios para Facebook e Instagram en el Reino Unido, lo que permite a los usuarios satisfacer £ 2.99 al mes para entrar a las plataformas sin anuncios en la web, y £ 3.99 al mes para Android e iOS. “Notificaremos a los usuarios del Reino Unido mayores de 18 primaveras que tienen la opción de suscribirse a Facebook e Instagram por una tarifa para usar estos servicios sin ver anuncios”, dijo la compañía. “Una tarifa adicional escasa de £ 2/mes en la web o £ 3/mes en iOS y Android se aplicará automáticamente para cada cuenta adicional que figura en el centro de cuentas de un favorecido”. Meta tiene obstáculos significativos para implementar el esquema en la UE, lo que hace que regrese a su maniquí de anuncios, ofreciendo a los usuarios la opción de percibir “anuncios menos personalizados” que son de pantalla completa y temporalmente no se pueden eliminar. Anteriormente en mayo, la Comisión Europea dijo que el maniquí no cumple con la Ley de Mercados Digitales (DMA) y multó a meta € 200 millones. En respuesta, la compañía dijo que necesitaría hacer modificaciones al maniquí que “podría dar espacio a una experiencia de favorecido materialmente peor para los usuarios europeos y un impacto significativo”. En un mensaje publicado en julio de 2025, Noyb sin fines de beneficio de privacidad dijo: “‘Respaldar o estar acertadamente’ se ha extendido a lo holgado de la UE en los últimos primaveras y ahora se pueden encontrar en cientos de sitios web. Sin requisa, las autoridades de protección de datos aún no han adoptivo un enfoque consistente en toda la UE para tratar estos sistemas. Deberían favor establecido esto hace mucho tiempo”.
• Dúo adolescente holandés arrestado por supuesto ‘Wi-Fi Sniffing’ para Rusia – Dos adolescentes han sido arrestados en los Países Bajos bajo sospecha de espionaje, según los informes, en nombre de las agencias de inteligencia rusas. Los niños, entreambos de 17 primaveras, fueron arrestados el lunes. Uno ha sido retenido bajo custodia, mientras que el otro ha sido puesto en confianza bajo fianza. Los decisión están relacionados con las leyes relacionadas con la interferencia patrocinada por el estado, pero se han retenido detalles adicionales oportuno a la perduración de los sospechosos y la investigación en curso. Se alega que a los adolescentes se les asignó la tarea de sobrellevar un “sniffer de Wi-Fi” a lo holgado de una ruta más allá de los edificios de La Haya, incluida la sede de Europol y Eurojust, así como varias embajadas.
• Akira ransomware violando las cuentas VPN de SonicWall protegidas con MFA – Los investigadores de ciberseguridad han capaz sobre una campaña de ransomware de Akira “agresiva” dirigida a las VPN de Sonicwall a desplegar rápidamente el casillero como parte de una ola de ataque que comenzó el 21 de julio de 2025 “. En casi todas las intrusiones, el enigmático de rescate en menos de cuatro horas desde el camino auténtico, con un intervalo de alojamiento a menos de 55 minutos en algunas instancias,” Arctic Wolf en un Wolf en un año nuevo. Otras actividades posteriores a la explotación comúnmente observadas incluyen escaneo de red interno, actividad de SMB de impacket vinculada al descubrimiento, el descubrimiento de Active Directory e inicios de sesión del cliente VPN que se originan en proveedores de alojamiento de servidor privado aparente (VPS). Dirigido a Firewall y LDAP sincronizado, varias intrusiones han involucrado a los actores de amenaza que aprovechan la cuenta dedicada utilizada para la sincronización de Active Directory para iniciar sesión a través de SSL VPN, a pesar de no estar configurado intencionalmente para dicho camino. En más del 50% de las intrusiones analizadas, se observaron intentos de inicio de sesión en cuentas con la función de contraseña única (OTP) habilitada. “Los inicios de sesión maliciosos fueron seguidos en cuestión de minutos mediante escaneo de puertos, actividad de SMB de impacket y un rápido despliegue de ransomware Akira”, señaló la compañía. “Las víctimas abarcaron en múltiples sectores y tamaños de ordenamiento, lo que sugiere una explotación masiva oportunista”.
• Cuatro personas para carear el prudencia sobre el escándalo de spyware de Grecia – Se demora que cuatro individuos, dos empleados israelíes y dos griegos del pensamiento del proveedor de spyware, enfrenten prudencia en Grecia sobre el uso de la aparejo de vigilancia de depredadores por parte del gobierno gobernador en 2022 para escuchar jueces, altos funcionarios militares, periodistas y la examen. Pero hasta la data, ningún funcionarios gubernamentales ha sido inculpado en relación con el escándalo.
• Los correos electrónicos de phishing conducen a Darkcloud Stealer – El robador de información conocido como Darkcloud se distribuye a través de correos electrónicos de phishing disfrazados de correspondencia financiera que engaña a los destinatarios para que abran archivos maliciosos con cremallera. El robador, por otra parte de pegar nuevas capas de enigmático y esparcimiento, se dirige a datos del navegador web, pulsaciones de teclas, credenciales de FTP, contenido de portapapeles, clientes de correo electrónico, archivos y billeteras de criptomonedas. Las credenciales/datos robados se envían a los puntos finales de telegrama, FTP, SMTP o panel web (PHP) controlados por el atacante. Está comercializado en Telegram por un favorecido llamado @blucoder y en Clearnet a través del dominio DarkCloud.OnlineWebShop (.) Net. Se anuncia como el “mejor software de vigilancia para padres, cónyuges y empleadores”. La compañía de seguridad cibernética Esentire dijo: “Darkcloud es un malware de robo de información escrito en VB6 y se está actualizando activamente para dirigirse a una amplia abanico de aplicaciones, incluidos clientes de correo electrónico, clientes FTP, billeteras de criptomonedas, navegadores web y admite numerosas otras capacidades de robo de información como la cosecha de pulsación de pulsación/clipboard, hijacking y colección de archivos”.
• Aunque enchufa la “brecha de configuración” – La compañía india Fintech Nupay dijo que abordó una brecha de configuración posteriormente de que UpGuard marcó un cubo de almacenamiento de Amazon S3 sin protección que contenía más de 270,000 documentos relacionados con las transferencias bancarias de los clientes indios. La información expuesta incluía números de cuenta bancaria, montos de transacción, nombres, números de teléfono y direcciones de correo electrónico. Los datos estaban vinculados a al menos 38 bancos e instituciones financieras diferentes. Actualmente no se sabe cuánto tiempo los datos se dejaron públicamente en Internet, aunque las configuraciones erróneas de este tipo no son infrecuentes. Nupay le dijo a TechCrunch que el cubo expuso un “conjunto acotado de registros de prueba con detalles básicos del cliente” y que la mayoría de los detalles eran “archivos de prueba o de prueba”.
• Los chatbots de IA principales proporcionan respuestas con reclamos falsos – Algunas de las principales tendencias de chatbots de IA a repetir reclamos falsos sobre temas en las informativo aumentaron casi el doble que el año pasado, según una auditoría de Newsguard. Las tasas de desinformación de los chatbots casi se han duplicado, pasando del 18% en agosto de 2024 al 35% un año posteriormente, y las herramientas proporcionan reclamos falsos a las informativo más de un tercio del tiempo. “En espacio de citar recortaduras de datos o negarse a evaluar temas confidenciales, los LLM ahora extraen un ecosistema de información en confín contaminado, a veces sembrado deliberadamente por grandes redes de actores malignos, incluidas las operaciones de desinformación rusa, y tratan fuentes poco confiables como creíbles”, dijo.
• El primer ministro de Israel dice que su discurso de la ONU se transmitió directamente a los teléfonos celulares de Lazada – El primer ministro israelí Benjamin Netanyahu dijo que su discurso en las Naciones Unidas la semana pasada incluso fue llevado a los teléfonos móviles de los residentes de Lazada en una operación sin precedentes. “Damas y caballeros, gracias a los esfuerzos especiales de la inteligencia israelí, mis palabras ahora incluso se están llevando a punta”, dijo Netanyahu. “Se transmiten en vivo a través de los teléfonos celulares de Lazada”. No hay evidencia de cómo hubiera funcionado o si esto efectivamente tuviera espacio.
• Los instaladores de equipos falsos conducen al malware de ostras – Los actores de amenaza abusan de envenenamiento por SEO y malvertidos para atraer a los usuarios que buscan equipos en confín en la descarga de un instalador embustero que conduce a malware llamado Oyster (incluso conocido como Broomstick o Cleanuplroader). “Oyster es una puerta trasera modular de varias etapas que proporciona camino remoto persistente, establece comunicaciones de comando y control (C2), recopila información del host y permite la entrega de cargas aperos de seguimiento”, dijo Blackpoint. “Al esconderse detrás de una plataforma de colaboración ampliamente utilizada, Oyster está acertadamente posicionada para eludir la detección casual y mezclar el ruido de la actividad empresarial común”. La actividad ha sido atribuida por la conciencia a la tempestad de vainica (incluso conocida como Storm-0832 o Vice Society).
• Fallas en el situación de transmisión parcheado – Los investigadores de ciberseguridad descubrieron una vulnerabilidad en el situación de implementación de aplicaciones a simplificios que pueden permitir a los atacantes secuestrar los servidores de nubes subyacentes. “Para hacer eso, los actores de amenaza evitan las restricciones de tipo de archivo y toman el control total de una instancia de abundancia mal configurada que ejecuta aplicaciones de optimización”, dijo Cato Networks. En un tablas de ataque hipotético, los malos actores pueden explotar una vulnerabilidad de carga de archivos en el situación para reescribir archivos de servidor e implementar nuevas configuraciones SSH. Streamlit lanzó un parche de seguridad en marzo.

🎥 seminarios web de ciberseguridad

• Más allá de la exageración: flujos de trabajo prácticos de IA para equipos de ciberseguridad: la IA está transformando los flujos de trabajo de ciberseguridad, pero los mejores resultados provienen de combinar la supervisión humana con la automatización. En este seminario web, Thomas Kinsella de Tines muestra cómo identificar dónde AI efectivamente agrega valía, evita la ingeniería excesiva y crea procesos seguros y auditables que escalera.
• Singular de Halloween: historias de incumplimiento verdadero y la posibilidad para terminar los horrores de contraseña (las contraseñas siguen siendo un objetivo principal para los atacantes, y un dolor constante para los equipos de TI. Las credenciales débiles o reutilizadas, el servicio de ayuda frecuente se restablecen y las políticas obsoletas exponen a las organizaciones a infracciones costosas y daños a la reputación. En este seminario web con temática de Halloween del software de Hacker News and Specops, verá historias reales de violación, descubrirá por qué las políticas de contraseña tradicionales fallan y verá una demostración en vivo sobre el interrupción de las credenciales comprometidas en tiempo verdadero, para que pueda finalizar las pesadillas de contraseña sin pegar fricción de favorecido.
• Desde el código hasta la abundancia: aprenda a ver cada aventura, corrige cada enlace débil: APPSEC actual necesita visibilidad de extremo a extremo de código a abundancia. Sin él, los defectos ocultos retrasan las soluciones y aumentan el aventura. Este seminario web muestra cómo la asignación de código a abundancia une Dev, DevOps y seguridad para priorizar y remediar más rápido, formando la columna vertebral de ASPM efectivo.

🔧 Herramientas de ciberseguridad

• Pangolin: es un proxy inverso autohospedado que expone de forma segura los servicios privados a Internet sin rajar puertos de firewall. Crea túneles de control de alambre enigmático para conectar redes aisladas e incluye gobierno de identidad y camino incorporada, por lo que puede controlar quién alcanza sus aplicaciones internas, API o dispositivos IoT. Ideal para desarrolladores, equipos de DevOps u organizaciones que necesitan camino remoto seguro, Pangolin simplifica compartir medios internos al tiempo que los mantiene protegidos detrás de una resistente autenticación y permisos basados ​​en roles.
• AI Red Teaming Playground: los laboratorios de juegos AI Red Teaming Red de Microsoft ofrecen desafíos prácticos para practicar los sistemas de IA sonorando para las brechas de seguridad. Construido en el copiloto de chat y impulsado por el situación de Pyrit de código hendido, le permite aparentar inyecciones de inmediato y otros ataques adversos para identificar los riesgos ocultos en la IA generativa antiguamente del despliegue.

Descargo de responsabilidad: las herramientas que se presentan aquí se proporcionan estrictamente para fines educativos y de investigación. No se han sometido a auditorías de seguridad completas, y su comportamiento puede introducir riesgos si se usan mal. Ayer de examinar, revise cuidadosamente el código fuente, pruebe solo en entornos controlados y aplique las salvaguardas apropiadas. Siempre asegúrese de que su uso se alinee con las pautas éticas, los requisitos legales y las políticas organizacionales.

🔒 Consejo de la semana

Deshumanizar el directorio activo contra los ataques modernos – Active Directory es un objetivo principal: comprometerlo y los atacantes pueden ser dueños de su red. Fortalezca sus defensas comenzando con Kerberos Fast (túneles seguros de autenticación flexible), que monograma el tráfico previo a la autorización para rodear el agrietamiento de contraseña fuera de confín y los ataques de retransmisión. Implementarlo en modo “compatible”, monitorear eventos KDC (IDS 34, 35), luego aplicar “requerido” una vez que todos los clientes estén listos.

Ejecute Pingcastle para un cheque de salubridad forestal rápido y use Adeleg/Adeleginator para descubrir una delegación excesiva peligrosa en cuentas de OUS o de servicio. Deshumanizar la seguridad de la contraseña con políticas de contraseña de bulto fino (FGPP) y automatizar la rotación circunscrito de contraseña de sucursal utilizando LAPS o protección de contraseña de Lithnet para rodear las credenciales violadas en tiempo verdadero.

Apriete otras capas de control: use el inspector/gen de Applocker para rodear la ejecución de la aplicación y GPozourr para detectar objetos de política de grupos huérfanos o riesgosos. Escanee los servicios de certificado de anuncios con cerrajero para cerrar las configuraciones erróneas y usar Scriptsentry para comprender scripts maliciosos de inicio de sesión que permiten la persistencia sigilosa.

Finalmente, aplique las líneas de saco de seguridad CIS o Microsoft y genere reglas de reducción de superficie de ataque personalizado con ASRGEN para rodear las técnicas de exploit que evitan las políticas típico. Esta táctica en capas, raramente implementada, aumenta el costo de compromiso y obliga incluso a los adversarios avanzados a trabajar mucho más duro.

Conclusión

Estos titulares muestran cuán ajustadas deben estar nuestras defensas en el panorama de amenazas de hoy. Ningún equipo, aparejo o tecnología individual puede ser independiente: la seguridad de estrías depende de la conciencia y la argumento compartidas.

Tómese un momento para ocurrir estas ideas, provocar una conversación con su equipo y convertir este conocimiento en pasos concretos. Cada parche estudioso, política actualizado o disertación compartida fortalece no solo su propia ordenamiento, sino la comunidad de seguridad cibernética más amplia en la que todos confiamos.