Ciberdelincuencia, gestión de fraude y ciberdelincuencia, respuesta a incidentes e infracciones También: el ransomware aumentó en 2023, MoneyGram volvió a estar en servicio después del ciberataque Anviksha More (AnvikshaMore) •26 de septiembre de 2024 Imagen: Shutterstock Cada semana, Information Security Media Group recopila incidentes y violaciones de ciberseguridad el mundo. Esta semana, consejos sobre cómo detectar al personal norcoreano; aumentaron los ataques de ransomware; MoneyGram vuelve a estar en línea; FCC multa a operativo político; CISA advirtió sobre ataques al sistema de agua; Ucrania restringió el uso de Telegram; Los piratas informáticos norcoreanos utilizaron nuevo malware; Reino Unido arrestó a un presunto hacker; PSNI está en conversaciones sobre filtración de datos. Ver también: Cloud NGFW: La mejor seguridad de su clase y simplicidad incomparable en AWS Cómo evitar contratar trabajadores de TI de Corea del Norte Las empresas que crean una fuerza laboral remota y que no quieren contratar accidentalmente a alguien del régimen totalitario más loco y sancionado del mundo deberían tomar algunos pasos básicos, recomendó Mandiant, empresa de inteligencia sobre amenazas propiedad de Google. Las medidas incluyen exigir que todos los solicitantes enciendan las cámaras durante las entrevistas «para garantizar que la apariencia visual coincida con los perfiles en línea», dijo Mandiant en una publicación de blog basada en el trabajo con empresas que contrataron a ciudadanos norcoreanos. Las empresas deben verificar que el entrevistado coincida con la identificación proporcionada y «hacer preguntas para establecer la coherencia de las respuestas de un candidato de acuerdo con sus supuestos antecedentes». El gobierno federal de Estados Unidos ha advertido desde al menos 2022 que los trabajadores norcoreanos remotos podrían no sólo cobrar un sueldo ilícito sino también utilizar sus puestos de programación para facilitar las campañas de piratería informática de Pyongyang. Este año, los fiscales federales han acumulado múltiples acusaciones penales contra personas acusadas de ayudar al Reino Ermitaño a eludir las sanciones mediante la gestión de granjas de portátiles dentro de EE.UU. a través de las cuales los ciudadanos norcoreanos obtienen trabajos de TI para empresas Fortune 500. Una señal reveladora de que un nuevo recluta está inyectando moneda fuerte en la asediada economía norcoreana es una computadora portátil que utiliza un teclado y video mouse basado en IP, así como la instalación de herramientas de administración remota como AnyDesk o Chrome Remote Desktop. «Las conexiones a estas soluciones de gestión remota se originaron principalmente desde direcciones IP asociadas con Astrill VPN, probablemente originarias de China o Corea del Norte», dijo Mandiant. Otros indicios: gran renuencia a unirse a videollamadas, números de teléfono que son números de Protocolo de Voz sobre Internet, múltiples herramientas de administración remota instaladas en un solo sistema, así como software de “movimiento del mouse” que mantiene activas las computadoras portátiles. «Mantener las computadoras portátiles encendidas y funcionando es clave para los trabajadores de TI de la RPDC, que a menudo realizan muchos trabajos a la vez y necesitan aparecer en línea», dijo Mandiant. La empresa también describió la calidad de la codificación de los trabajadores norcoreanos como «por debajo del promedio». Los ataques de ransomware aumentan un 73% en 2023 El Grupo de Trabajo sobre Ransomware del Instituto de Seguridad y Tecnología informó un aumento del 73% en los incidentes de ransomware registrados en todo el mundo en 2023 en comparación con el año anterior, con 6.670 ataques registrados. Un informe del jueves del grupo de trabajo atribuye la tendencia a la caza mayor, donde los ciberdelincuentes apuntan a organizaciones de alto valor para obtener pagos máximos. En particular, el grupo Clop aprovechó vulnerabilidades en el software de transferencia de archivos MOVEit, lo que contribuyó a aproximadamente 666 incidentes (consulte: Número de violaciones de datos vinculado a los ataques repentinos de MOVEit del grupo Clop). Los sectores de la salud y la construcción fueron los más atacados, y los hospitales experimentaron casi el doble de ataques, de 89 incidentes en 2022 a 177 en 2023. El costo promedio de recuperación para los hospitales alcanzó los 2,2 millones de dólares y los pagos de ransomware se dispararon, superando los mil millones de dólares en 2023 ( ver: CMS ahora dice que hay 3,1 millones de afectados por MOVEit Hack). A pesar de los mayores esfuerzos del gobierno y la industria para combatir el ransomware, la rentabilidad del modelo de ransomware como servicio continúa incentivando a los atacantes, según el informe. MoneyGram se recupera del ciberataque MoneyGram International volvió a estar en línea el jueves después de que un ciberataque al sistema de transferencia de dinero lo obligó a desconectar los servicios el lunes. Con sede en Dallas, Texas, MoneyGram procesa más de 200 mil millones de dólares en transacciones anualmente en más de 200 países. Un informe de encuesta publicado por MoneyGram a principios de este mes dice que de quienes utilizan el servicio para enviar dinero al extranjero, casi la mitad dijo que lo hace para cubrir los costos de alimentación de la familia, mientras que más de un tercio dijo que el dinero es para cubrir gastos de emergencia. Más de un tercio informó utilizar el servicio para cubrir gastos de vivienda. La FCC de EE. UU. multa a un agente político por un deepfake de Biden El consultor político que generó un deepfake de inteligencia artificial de la voz del presidente estadounidense Joe Biden en febrero debe pagar una multa de 6 millones de dólares a los reguladores federales. La Comisión Federal de Comunicaciones de Estados Unidos impuso el jueves la sanción al agente demócrata Steven Kramer. «Ahora es fácil y barato utilizar la inteligencia artificial para clonar voces e inundarnos con sonidos e imágenes falsos», afirmó la presidenta de la FCC, Jessica Rosenworcel. «Necesitamos denunciarlo cuando lo veamos y utilizar todas las herramientas a nuestra disposición para detener este fraude». Kramer dijo a The Associated Press en febrero que las llamadas eran su intento de llamar la atención sobre los peligros de los deepfakes impulsados ​​por IA. Luego, trabajando para el representante Dean Phillips, rival de Biden en las primarias, quien denunció las llamadas, Kramer pagó $500 para transmitir un mensaje falso a casi 4.000 votantes potenciales de New Hampshire el 21 de enero, quienes escucharon una voz que pensaron que era la de Biden instándolos a no participar en las primarias demócratas. La FCC dijo que Kramer tiene 30 días para pagar la multa o enfrentar cobros del Departamento de Justicia. La empresa de telecomunicaciones estadounidense Lingo Telecom ya acordó una multa de 1 millón de dólares por transmitir las llamadas. Kramer todavía enfrenta cargos penales en New Hampshire relacionados con una supuesta supresión de votantes. CISA de EE. UU. advierte sobre ataques cibernéticos a infraestructuras críticas La Agencia de Seguridad de Infraestructuras y Ciberseguridad de EE. UU. publicó el miércoles una advertencia sobre ataques cibernéticos dirigidos a redes de infraestructuras críticas, centrándose específicamente en los sistemas de agua y aguas residuales. Los atacantes no necesitan ser súper piratas informáticos, ya que métodos «poco sofisticados», como los ataques de fuerza bruta y el uso de credenciales predeterminadas, siguen permitiendo a los atacantes acceder a tecnología operativa expuesta a Internet, dijo la agencia. CISA aconsejó a los operadores fortalecer las defensas cambiando las contraseñas predeterminadas, habilitando la autenticación multifactor, asegurando las interfaces hombre-máquina detrás de firewalls, fortaleciendo las instalaciones de VNC y aplicando los parches más recientes. La advertencia de CISA se produce tras un ciberataque el domingo a la instalación de tratamiento de agua de Arkansas City, Kansas (ver: FBI, Seguridad Nacional de EE. UU. Investiga el ciberataque a una instalación de agua). Ucrania restringe el uso de Telegram por motivos de seguridad El Centro Nacional de Coordinación de Ciberseguridad de Ucrania prohibió el uso de Telegram dentro de agencias gubernamentales, unidades militares e infraestructura crítica debido a preocupaciones de seguridad nacional en medio de la guerra en curso con Rusia. El secretario del Consejo de Seguridad y Defensa Nacional, Oleksandr Lytvynenko, destacó los riesgos de seguridad de Telegram en una reunión del 19 de septiembre. El jefe de Inteligencia de Defensa de Ucrania, Kyrylo Budanov, advirtió que la inteligencia rusa podría potencialmente acceder a los datos de los usuarios, incluidos los mensajes eliminados, lo que convertiría a Telegram en una grave amenaza a la seguridad. Funcionarios del Servicio de Seguridad y de las Fuerzas Armadas de Ucrania dijeron que Rusia utiliza activamente Telegram para ataques cibernéticos, phishing, distribución de malware y coordinación de ataques con misiles. Como resultado, el NCCC restringió la aplicación en dispositivos oficiales utilizados por personal gubernamental, militar y de infraestructura crítica, excepto cuando sea específicamente necesario. La prohibición no se extiende a los ciudadanos comunes y corrientes, y la aplicación sigue siendo ampliamente utilizada para comunicaciones y actualizaciones de noticias, incluidas alertas sobre ataques aéreos rusos. Hackers norcoreanos implementan nuevas cepas de malware El grupo de amenazas vinculado a Corea del Norte Kimsuky, también conocido como APT43, está utilizando dos nuevas cepas de malware denominadas KLogEXE y FPSpy, según investigadores de la Unidad 42 de Palo Alto Networks. Estas adiciones refuerzan las capacidades del grupo , que ha estado activo desde 2012 y es conocido por sus ataques de phishing. KLogEXE es una versión C++ de InfoKey, un keylogger previamente vinculado a las campañas de Kimsuky dirigidas a organizaciones japonesas. Realiza un seguimiento de las pulsaciones de teclas y los clics del mouse y recopila información sobre las aplicaciones en ejecución. FPSpy, una variante de malware expuesta previamente por AhnLab en 2022, mejora la capacidad de Kimsuky para recopilar información del sistema, ejecutar comandos, descargar cargas útiles adicionales y enumerar unidades y archivos. La policía del Reino Unido arresta a un presunto pirata informático en una estación de tren Los piratas informáticos atacaron los sistemas Wi-Fi de la red ferroviaria nacional más grande del Reino Unido para interceptar páginas de inicio de sesión cautivas que mostraran mensajes islamófobos. El ataque del miércoles por la noche afectó las páginas de inicio de sesión de Wi-Fi en 19 estaciones administradas por Network Rail, cambiando la página de inicio de sesión para que dijera «Te amamos, Europa» junto con información sobre incidentes terroristas. El Manchester Evening News informó el jueves que la policía arrestó a un empleado del contratista de Wi-Fi Global Reach Technology. Las estaciones afectadas incluyen Liverpool Street, Paddington y Waterloo de Londres, las estaciones de tren más transitadas del Reino Unido. Comienza la mediación del PSNI sobre la compensación por filtración de datos Un proceso de mediación que involucra al Servicio de Policía de Irlanda del Norte ha comenzado para determinar la compensación para hasta 7.000 miembros del personal afectados por una filtración de datos de agosto de 2023 que se produjo cuando la agencia publicó accidentalmente en línea una hoja de cálculo que contenía las primeras iniciales, apellidos, roles y ubicaciones de todos los funcionarios y el personal. Las persistentes tensiones sectarias en Irlanda del Norte han llevado a muchos agentes de policía y empleados civiles a ocultar públicamente su empleo, especialmente miembros de la comunidad católica, que tal vez ni siquiera se lo digan a sus familiares (ver: La policía de Irlanda del Norte en riesgo después de una grave filtración de datos). Aunque la hoja de cálculo estuvo en línea sólo durante unas horas, los investigadores descubrieron que los republicanos disidentes que rechazan el acuerdo de poder compartido entre británicos e irlandeses que trajo la paz a Irlanda del Norte lograron obtener una copia. El pago final podría alcanzar los 240 millones de libras, informó la BBC. PSNI ya aceptó la responsabilidad y se disculpó por la infracción. La mediación tendrá como objetivo establecer una “oferta universal” de compensación, aunque los individuos no están obligados a aceptarla. A principios de este año, la Oficina del Comisionado de Información del Reino Unido sugirió que el PSNI podría enfrentarse a una multa de 750.000 libras por la infracción. Ocho empleados, incluido un directivo, dimitieron citando la filtración de datos como un factor clave en su decisión. Otra cobertura de la semana pasada con informes de Akshaya Asokan de Information Security Media Group en el sur de Inglaterra y David Perera en Washington, DC URL de la publicación original: https://www.databreachtoday.com/breach-roundup-how-to-spot-north- trabajadores-coreanos-a-26392