El mundo online nunca se toma un refrigerio y esta semana muestra por qué. Desde los creadores de ransomware atrapados hasta los piratas informáticos respaldados por gobiernos que intentan nuevos trucos, el mensaje es claro: los ciberdelincuentes siempre están cambiando su forma de atacar y debemos mantenernos al día.
Los piratas informáticos utilizan herramientas cotidianas de forma dañina, ocultan software informador en aplicaciones confiables y encuentran nuevas formas de exprimir antiguas brechas de seguridad. Estos eventos no son aleatorios: muestran cuán inteligentes y flexibles pueden ser las ciberamenazas.
En esta publicación, analizaremos los eventos cibernéticos más importantes de la semana pasada y compartiremos conclusiones secreto para ayudarlo a mantenerse seguro y preparado. Empecemos.
⚡ Amenaza de la semana
El desarrollador de LockBit, Rostislav Panev, perceptible en EE. UU. — Rostislav Panev, de 51 abriles, con doble patria rusa e israelí, ha sido perceptible en EE. UU. de supuestamente llevar a cabo como desarrollador de la ahora interrumpida operación de ransomware como servicio (RaaS) LockBit, ganando cerca de de 230.000 dólares entre Junio de 2022 y febrero de 2024. Panev fue arrestado en Israel en agosto de 2024 y actualmente está irresoluto de extradición. Con el postrer crecimiento, un total de siete miembros de LockBit han sido acusados en los EE. UU. Dicho esto, el asociación parece estar preparando una nueva interpretación, LockBit 4.0, cuyo tirada está previsto para febrero de 2025.
🔔 Parte destacadas
- El asociación Lazarus continúa evolucionando tácticas — Se ha observado que el Categoría Lazarus, vinculado a Corea del Ideal, ataca a ingenieros nucleares con un nuevo malware modular llamado CookiePlus como parte de una campaña de ciberespionaje de larga duración denominada Operación Dream Job. CookiePlus es sólo la última manifestación de lo que los investigadores de seguridad han descrito como la creciente sofisticación que los actores de amenazas han comenzado a incorporar en su malware y sus tácticas. La variedad de TTP utilizados resalta la versatilidad y diversificación del asociación de hackers.
- APT29 utiliza una aparejo de código destapado para configurar servidores proxy en ataques RDP: El asociación patrocinado por el estado ruso rastreado como APT29 ha reutilizado una metodología legítima de ataque de equipo rojo que implica el uso de una aparejo proxy de código destapado denominada PyRDP para configurar servidores intermedios que son responsables de conectar las máquinas víctimas a servidores RDP no autorizados y desplegar cargas enseres adicionales. , e incluso exfiltrar datos. El crecimiento ilustra cómo es posible que los malos actores logren sus objetivos sin tener que diseñar herramientas en extremo personalizadas.
- Periodista serbio atacado por Cellebrite y NoviSpy — Un periodista serbio independiente, Slaviša Milanov, vio su teléfono desbloqueado por primera vez con la aparejo forense de Cellebrite y seguidamente comprometido por un software informador previamente indocumentado cuyo nombre en código es NoviSpy, que viene con capacidades para capturar datos personales del teléfono de un objetivo y encender de forma remota el micrófono o la cámara del teléfono. . Los ataques de software informador, detallados por Indulto Internacional, son la primera vez que se utilizan dos tecnologías invasivas diferentes contra miembros de la sociedad civil para allanar la colección ajuste de datos. La policía serbia calificó el noticia de «absolutamente incorrecto».
- La máscara regresa — Un actor de ciberespionaje poco conocido conocido como The Mask ha sido vinculado a un nuevo conjunto de ataques dirigidos a una ordenamiento anónima en América Latina dos veces en 2019 y 2022. El asociación, documentado por primera vez por Kaspersky a principios de 2014, infectó a la empresa con malware como FakeHMP, Careto2 y Goreto, que están diseñados para compendiar archivos, pulsaciones de teclas y capturas de pantalla; ejecutar comandos de shell; e implementar más malware. Actualmente se desconocen los orígenes del autor de la amenaza.
- Varios paquetes de npm son víctimas de ataques a la cautiverio de suministro — Actores de amenazas desconocidos lograron comprometer tres paquetes npm diferentes, @rspack/core, @rspack/cli y vant, y remitir versiones maliciosas al repositorio que contiene código para implementar un minero de criptomonedas en sistemas infectados. Tras el descubrimiento, los respectivos mantenedores del tesina intervinieron para eliminar las versiones no autorizadas.
️🔥 CVE de tendencia
¡Aviso! Algunos programas populares tienen graves fallos de seguridad, así que asegúrese de actualizarlos ahora para mantenerse a excepto. La índice incluye: CVE-2024-12727, CVE-2024-12728, CVE-2024-12729 (Sophos Firewall), CVE-2023-48788 (Fortinet FortiClient EMS), CVE-2023-34990, (Fortinet FortiWLM), CVE- 2024-12356 (Entrada remoto privilegiado y soporte remoto de BeyondTrust), CVE-2024-6386 (complemento WPML), CVE-2024-49576, CVE-2024-47810 (software Foxit), CVE-2024-49775 (Siemens Opcenter Execution Foundation), CVE- 2024-12371, CVE-2024-12372, CVE-2024-12373 (Rockwell Automation PowerMonitor 1000), CVE-2024-52875 (GFI KerioControl), CVE-2024-56145 (Craft CMS), CVE-2024-56050, CVE-2024-56052, CVE-2024-56054, CVE-2024-56057 (VibeThemes WPLMS), CVE-2024-12626 (complemento AutomatorWP), CVE-2024-11349 (tema AdForest), CVE-2024-51466 (IBM Cognos Analytics), CVE-2024 -10244 (Software web ISDO), CVE-2024-4995 (Wapro ERP Desktop), CVE-2024-10205 (Hitachi Ops Center Analyzer) y CVE-2024-46873 (enrutador Sharp)
📰 Más o menos del mundo cibernético
- El futuro aguafuerte es etiquetado como «indeseable» en Rusia. Las autoridades rusas han calificado a la firma estadounidense de inteligencia de amenazas Recorded Future como una ordenamiento «indeseable», acusándola de participar en campañas de propaganda y ataques cibernéticos contra Moscú. La Oficina del Fiscal Caudillo de Rusia igualmente dijo que la compañía está «cooperando activamente» con los servicios de inteligencia estadounidenses y extranjeros para ayudar a inquirir, compendiar y analizar datos sobre las actividades militares rusas, así como sobre Ucrania con «comunicación irrestricto» a programas utilizados en operaciones de información ofensivas. contra Rusia. «Algunas cosas en la vida son raros elogios. Éste lo es», escribió el director ejecutante de Recorded Future, Christopher Ahlberg, en X.
- China acusa a Estados Unidos de realizar ataques cibernéticos El Equipo Técnico/Centro de Coordinación de Respuesta a Emergencias de la Red Informática Franquista de China (CNCERT) acusó al gobierno de Estados Unidos de editar ciberataques contra dos empresas de tecnología chinas en un intento por robar secretos comerciales. CNCERT dijo que uno de los ataques, detectado en agosto de 2024, destacó una mecanismo de investigación y diseño de materiales avanzados al explotar una vulnerabilidad en un sistema de encargo de seguridad de documentos electrónicos para irrumpir en el servidor de encargo de actualizaciones y entregar troyano a más de 270 hosts y desviar «un gran cantidad de información secreta comercial y propiedad intelectual». El segundo ataque, por otro costado, tuvo como objetivo una empresa anónima de entrada tecnología de energía inteligente e información digital desde mayo de 2023 al utilizar fallas en Microsoft Exchange Server como armas para instalar puertas traseras con el objetivo de compendiar datos de correo. «Al mismo tiempo, el atacante utilizó el servidor de correo como trampolín para atacar y controlar más de 30 dispositivos de la empresa y sus empresas subordinadas, robando una gran cantidad de información comercial secreta de la empresa», dijo CNCERT. Las acusaciones se producen en medio de que Estados Unidos acusa a actores de amenazas chinos como Salt Typhoon de violar su infraestructura de telecomunicaciones.
- Nuevo software informador para Android distribuido a través de Amazon Appstore — Los investigadores de ciberseguridad descubrieron un nuevo malware para Android que estaba apto para descargar desde Amazon Appstore. Haciéndose sobrevenir por una calculadora del índice de masa corporal (IMC), la aplicación («BMI CalculationVsn» o com.zeeee.recordingappz) incluía funciones para labrar sigilosamente la pantalla, así como compendiar la índice de aplicaciones instaladas y mensajes SMS entrantes. «A primera perspicacia, esta aplicación parece ser una aparejo básica, que proporciona una única página donde los usuarios pueden ingresar su peso y importancia para calcular su IMC», dijo McAfee Labs. «Sin secuestro, detrás de esta apariencia inocente se esconde una serie de actividades maliciosas». La aplicación ha sido eliminada tras una divulgación responsable.
- Operación de HeartCrypt Packer-as-a-Service expuesta – Desde febrero de 2024 se anuncia la traspaso de un nuevo empaquetador como servicio (PaaS) llamado HeartCrypt en Telegram y foros clandestinos para proteger malware como Remcos RAT, XWorm, Lumma Stealer y Rhadamanthys. Se dice que está en crecimiento desde julio de 2023 y sus operadores cobran 20 dólares por archivo para empaquetar, y admite cargas enseres de Windows x86 y .NET. «En el maniquí PaaS de HeartCrypt, los clientes envían su malware a través de Telegram u otros servicios de transporte privada, donde el cirujano luego lo empaqueta y lo devuelve como un nuevo binario», dijo la Dispositivo 42 de Palo Stop Networks, añadiendo que identificó más de 300 binarios legítimos distintos que se utilizaron. para inyectar la carga maliciosa. Se sospecha que el servicio permite a los clientes preferir un binario específico para inyectarlo con el fin de adaptarlo según el objetivo previsto. En esencia, el empaquetador funciona insertando la carga útil principal en la sección .text del binario y secuestrando su flujo de control para permitir la ejecución del malware. El empaquetador igualmente toma medidas para añadir varios fortuna diseñados para evitar la detección y el prospección, al mismo tiempo que ofrece un método opcional para establecer persistencia mediante modificaciones del Registro de Windows. «Durante los ocho meses de operación de HeartCrypt, se ha utilizado para empaquetar más de 2.000 cargas enseres maliciosas, que involucran aproximadamente 45 familias de malware diferentes», dijo la Dispositivo 42.
- Los usuarios de acento china y vietnamita son el objetivo del instalador de CleverSoar — Se está utilizando un instalador de malware en extremo evasivo llamado CleverSoar para atacar a víctimas de acento china y vietnamita con el entorno Winos 4.0 y el rootkit Nidhogg. La distribución de malware comienza con paquetes de instalación MSI que probablemente se hacen sobrevenir por software copiado o aplicaciones relacionadas con juegos, que extraen los archivos y seguidamente ejecutan el instalador de CleverSoar. «Estas herramientas habilitan capacidades como el registro de pulsaciones de teclas, la filtración de datos, evasiones de seguridad y control encubierto del sistema, lo que sugiere que la campaña es parte de un esfuerzo de espionaje potencialmente prolongado», dijo Rapid7, describiéndola como una amenaza avanzadilla y dirigida. «El enfoque selectivo de la campaña en usuarios de acento china y vietnamita, yuxtapuesto con sus medidas antidetección en capas, apunta a un esfuerzo de espionaje persistente por parte de un actor de amenazas capaz». Se sospecha que el actor de amenazas igualmente es responsable de otras campañas que distribuyen Winos 4.0 y ValleyRAT.
- Miles de dispositivos SonicWall vulnerables a fallas críticas — Hasta 119,503 dispositivos SonicWall SSL-VPN de comunicación divulgado son susceptibles a fallas de seguridad graves (25,485 de trascendencia crítica y 94,018 de trascendencia entrada), y más de 20,000 utilizan una interpretación de firmware SonicOS/OSX que ya no es compatible con el proveedor. «La mayoría de los dispositivos de la serie 7 expuestos en partidura se ven afectados por al menos una vulnerabilidad de trascendencia entrada o crítica», dijo la empresa de ciberseguridad Bishop Fox. Se han incompatible expuestas en Internet un total de 430.363 instancias únicas de SonicOS/OSX.
- Sistemas industriales blanco de nuevos ataques de malware — Las estaciones de trabajo de ingeniería (EWS) de Siemens han sido atacadas por un malware llamado Chaya_003 que es capaz de finalizar el proceso del portal Siemens TIA, yuxtapuesto con aquellos relacionados con las aplicaciones de Microsoft Office, Google Chrome y Mozilla Firefox. El malware, una vez instalado, establece conexiones con un webhook de Discord para obtener instrucciones para realizar registro del sistema e interrupción del proceso. Forescout dijo que igualmente identificó dos incidentes en los que los EWS de Mitsubishi fueron infectados con el infame Ramnit. Actualmente no está claro si los atacantes apuntaron directamente a los sistemas de tecnología operativa (OT) o si se propagó a través de algún otro medio, como phishing o unidades USB comprometidas. Las redes OT igualmente han sido cada vez más objetivo de ataques de ransomware, con 552 incidentes reportados en el tercer trimestre de 2024, frente a 312 en el segundo trimestre de 2024, según Dragos. No menos de 23 nuevos grupos de ransomware se han dirigido a organizaciones industriales durante este período. Algunas de las verticales más afectadas incluyeron manufactura, equipos e ingeniería de sistemas de control industrial (ICS), transporte, comunicaciones, petróleo y gas, electricidad y gobierno.
- Traducción descifrada del escáner Acunetix vinculada a una empresa de TI turca — Los actores de amenazas están vendiendo miles de conjuntos de credenciales robadas utilizando Araneida, una interpretación descifrada del escáner de vulnerabilidades de la aplicación web Acunetix. Según Krebs on Security y Silent Push, se cree que Araneida se vende como una aparejo de ataque basada en la abundancia a otros actores criminales. Un prospección más detallado del vestigio digital dejado por los actores de amenazas los ha rastreado hasta un desarrollador de software con sede en Ankara llamado Altuğ Şara, que trabajó para una empresa turca de TI citación Bilitro Yazilim.
🎥 Seminario web para expertos
- Preparándose para la próxima ola de ransomware en 2025: el ransomware se está volviendo más inteligente y utiliza el criptográfico para ocultarse y atacar cuando menos lo demora. ¿Estás preparado para lo que viene a posteriori? Únase a Emily Laufer y Zscaler ThreatLabz para explorar las últimas tendencias en ransomware, cómo los atacantes utilizan canales cifrados para permanecer ocultos y estrategias inteligentes para detenerlos. Aprenda cómo proteger su ordenamiento antaño de que sea demasiado tarde: ¡asegure su lado hoy!
- La preceptor empresarial para la automatización de certificados y más: únase a nuestra demostración en vivo para ver cómo DigiCert ONE simplifica la confianza entre usuarios, dispositivos y software. Descubra cómo centralizar la encargo de certificados, automatizar operaciones y cumplir con las demandas de cumplimiento mientras reduce la complejidad y el aventura. Ya sea para TI, IoT o DevOps, aprenda cómo preparar su logística de confianza digital para el futuro. No te lo pierdas: ¡regístrate ahora!
🔧 Herramientas de ciberseguridad
- AttackGen: es una aparejo de código destapado que ayuda a las organizaciones a prepararse para las amenazas cibernéticas. Utiliza modelos avanzados de IA y el entorno MITRE ATT&CK para crear escenarios de respuesta a incidentes adaptados al tamaño de su ordenamiento, la industria y los actores de amenazas seleccionados. Con funciones como plantillas rápidas para ataques comunes y un asistente integrado para perfeccionar escenarios, AttackGen hace que la planificación de incidentes cibernéticos sea posible y eficaz. Es compatible con sistemas empresariales e industriales, lo que ayuda a los equipos a estar preparados para las amenazas del mundo verdadero.
- Sirimiri de ideas: es una aparejo que hace que la confusión web sea más efectiva mediante el uso de modelos de inteligencia químico locales yuxtapuesto con ffuf. Analiza enlaces de un sitio web de destino y genera conjeturas inteligentes para archivos, directorios y puntos finales API ocultos. Al instruirse de cada descubrimiento, reduce la cantidad de solicitudes necesarias y, al mismo tiempo, encuentra más puntos finales en comparación con las listas de palabras tradicionales. Esta aparejo es perfecta para optimizar las tareas de fuzzing, atesorar tiempo y evitar la detección. Es posible de configurar, funciona con LLM locales como Ollama y se adapta a su objetivo.
- GPOHunter: esta aparejo ayuda a identificar y corregir fallas de seguridad en los objetos de política de asociación (GPO) de Active Directory. Detecta problemas como contraseñas de texto sin reducir, configuraciones de autenticación débiles y contraseñas GPP vulnerables, y proporciona informes detallados en múltiples formatos. Hacedero de usar y en extremo efectivo, GPOHunter simplifica la protección de sus GPO y fortalece su entorno.
🔒 Consejo de la semana
No permita que los piratas informáticos miren su abundancia — El almacenamiento en la abundancia hace la vida más posible, pero igualmente puede exponer sus datos si no se protegen adecuadamente. Mucha muchedumbre no se da cuenta de que las configuraciones mal configuradas, como las carpetas públicas o los permisos débiles, pueden permitir que cualquiera acceda a sus archivos. Así es como ocurren las grandes filtraciones de datos, y es posible prevenirlas.
Inicio por auditar su abundancia. Herramientas como ScoutSuite pueden inquirir vulnerabilidades, como archivos abiertos al divulgado o desliz de criptográfico. A continuación, controle el comunicación permitiendo solo a aquellos que lo necesiten. Una aparejo como Cloud Custodian puede automatizar estas políticas para circunvalar el comunicación no calificado.
Por postrer, cifre siempre sus datos antaño de cargarlos. Herramientas como rclone simplifican el sitio de sus archivos con una secreto a la que solo usted puede penetrar. Con estos pasos, su abundancia permanecerá segura y sus datos seguirán siendo suyos.
Conclusión
Las fiestas son un momento de celebración, pero igualmente son la temporada entrada de riesgos cibernéticos. Los ciberdelincuentes están más activos que nunca y atacan a compradores en partidura, intercambios de regalos e incluso saludos festivos por correo electrónico. Así es como puede disfrutar de unas receso seguras y sin preocupaciones:
- 🎁 Envuelve tus regalos digitales con seguridad: Si está regalando dispositivos inteligentes, configúrelos con contraseñas seguras y habilite las actualizaciones antaño de envolverlos. Esto garantiza que sus seres queridos comiencen seguros desde el primer día.
- 📦 Realice un seguimiento de los paquetes, no de los estafadores: Tenga cuidado con las notificaciones de entrega falsas. Utilice aplicaciones oficiales o enlaces de seguimiento de minoristas confiables para seguir sus envíos.
- ✨ Haga que sus cuentas sean Jolly Secure: Utilice un administrador de contraseñas para refrescar contraseñas débiles en sus cuentas. Unos minutos ahora pueden ahorrarte horas de frustración más delante.
- 🎮 Equipo encendido, con seguridad: Si hay nuevas consolas de juegos o suscripciones en su índice, asegúrese de activar los controles parentales y utilizar detalles de cuenta únicos. Las estafas en juegos aumentan durante las receso.
A medida que nos acercamos al Año Nuevo, hagamos de la ciberseguridad una prioridad para nosotros y nuestras familias. A posteriori de todo, mantenerse seguro en partidura es el regalo que se sigue dando.
¡Felices fiestas y que disfrutemos de una temporada segura y alegre! 🎄🔒