Conocer la complejidad del software de la cadena de suministro de su software está aumentando en niveles sin precedentes. La cadena de suministro de software promedio ahora contiene artefactos de repositorios de código abierto, código desarrollado internamente, software desarrollado por terceros y software comercial (COTS). Todo esto se combina para administrar su negocio. Las preguntas que rodean la cadena de suministro de software van desde su visibilidad hasta su confiabilidad hasta el origen de los bits y bytes. El Acelerador de datos LevelBlue 2025: la cadena de suministro de software y la ciberseguridad analizan cómo las organizaciones perciben la visibilidad, invierten y están preparados para remediar los ataques de su cadena de suministro de software. Los atacantes conocen las debilidades de la cadena de suministro de su software en todas las organizaciones, existen similitudes en la cadena de suministro de software que los atacantes pueden identificar y explotar fácilmente. Los adversarios están buscando una manera fácil en su organización a través de software no parpadeado, API inseguras y de terceros comunes, o vulnerabilidades de código abierto conocidas. Obtener acceso a través de estas vulnerabilidades conocidas permite a los adversarios infiltrarse en sus sistemas a través de la última milla; tu software. Un elemento clave para frustrar estos ataques en la cadena de suministro de software es una mayor visibilidad. La nueva investigación de LevelBlue encuentra que las organizaciones con cadenas de suministro de software transparentes tienen menos probabilidades de sufrir una violación. Los datos muestran que el 80% de las organizaciones con baja visibilidad de la cadena de suministro de software han sufrido una violación en los últimos 12 meses en comparación con solo el 6% de las personas con alta visibilidad que sufren una violación en el mismo marco de tiempo. Descargue su copia complementaria del nuevo Acelerador de datos LevelBlue: cadena de suministro de software y ciberseguridad para obtener más información sobre la necesidad de visibilidad de la cadena de suministro de software. ¿Alguien está realmente preparado para los ataques de la cadena de suministro de software? Los ataques de la cadena de suministro de software están en aumento y continuarán siendo un punto de entrada principal para los adversarios. La nueva investigación de LevelBlue examinó la cadena de suministro de software: la probabilidad de inversión de visibilidad de la preparación para el ataque para la participación de la remediación con los proveedores de software sobre las credenciales de seguridad Los resultados son sorprendentes: la baja visibilidad de alta inversión La alta probabilidad de ataque El alto nivel de confianza para la remediación de la baja participación con los proveedores de software sobre sus credenciales de seguridad, esta apariencia de visibilidad, la inversión, la inversión y preparada en el mundo es consistente en el mundo. ¿Cómo se está preparando y planificando su organización para un ataque de la cadena de suministro de software? Construya un marco para la preparación de la cadena de suministro de software Use la investigación LevelBlue para ayudar a su organización a prepararse para los ataques contra la cadena de suministro de software siguiendo estos cuatro pasos sugeridos. 1. Involucrar ejecutivos: el C-suite es consciente de los riesgos que plantea la baja visibilidad de la cadena de suministro de software y lo comprende como un imperativo comercial. Use esta alineación para asegurar recursos y acelerar la transformación. 2. Mapee las dependencias de su cadena de suministro: realice evaluaciones de riesgos interfuncionales para descubrir las áreas más vulnerables en su proveedor y tuberías de desarrollo. Alinee a sus equipos con los objetivos de visibilidad a corto plazo y la reducción del riesgo a largo plazo. 3. Invierta en la tecnología apropiada: implementar la detección de amenazas, la gestión de vulnerabilidad y el análisis de la exposición impulsada por la IA. 4. Transparencia de la demanda de proveedores: involucre a los proveedores de su cadena de suministro de software en revisiones regulares de seguridad. Requiere una factura de software de material (SBOM), evalúe su postura de seguridad y requiere un cumplimiento continuo. Descargue su copia complementaria de la nueva investigación, el informe del Acelerador de datos LevelBlue 2025 ofrece datos específicos de la región, información de C-suite y una hoja de ruta para mejorar la visibilidad de su cadena de suministro de software. Continúe entregando el impacto comercial a través de la resiliencia cibernética asegurando su cadena de suministro de software. El contenido proporcionado en este documento es solo para fines informativos generales y no debe interpretarse como asesoramiento legal, regulatorio, de cumplimiento o ciberseguridad. Las organizaciones deben consultar a sus propios profesionales legales, de cumplimiento o ciberseguridad sobre obligaciones específicas y estrategias de gestión de riesgos. Si bien las soluciones de detección y respuesta de amenazas administradas de LevelBlue están diseñadas para respaldar la detección y respuesta de amenazas en el nivel de punto final, no son un sustituto para el monitoreo integral de la red, la gestión de vulnerabilidades o un programa completo de seguridad cibernética.
Categoría: Ciberseguridad Página 2 de 63
El conocimiento de la gestión del conocimiento de Héctor John Periquin sobre insignia en esta serie: la gestión del conocimiento implica el manejo sistemático de información y recursos para garantizar que el conocimiento se cree, se actualice, distribuya, archive y accesible fácilmente. Abarca varias formas de documentación, como documentos independientes, páginas wiki, correos electrónicos y boletos. El objetivo principal es fomentar un entorno de comprensión y colaboración compartidas. Algunos síntomas de mal gestión del conocimiento son: falta de comunicación sobre las responsabilidades. Percepciones de gestión de subjetivos sin apoyar las métricas. Disconente entre los datos informados y el estado de seguridad de la información real.
Qantas dice que cuando CyberCrooks atacó una «plataforma de terceros» utilizada por los sistemas de centro de contacto de la aerolínea, accedieron a la información personal y al número frecuente de los volantes de la «mayoría» de las personas de alrededor de 5.7 millones de personas afectadas. La aerolínea Aussie dijo hoy que esta información personal incluye nombres y/o direcciones de correo electrónico, y advirtió los números de volantes frecuentes, los niveles de clientes, los créditos de estado y los saldos de puntos también podrían verse comprometidos. En una «minoría» del número total de casos, según los informes, hasta un millón de personas, también se revelaron otros puntos de datos. Estos incluyen: Direcciones físicas (direcciones residenciales y direcciones comerciales, incluidos hoteles para entrega de equipaje fuera de lugar) Fechas de números de teléfono de nacimiento Las preferencias de las comidas sin duda esperaban mitigar las preocupaciones sobre la exposición de direcciones físicas, la aerolínea dijo que sus investigaciones mostraron que muchas de ellas tenían años de edad y potencialmente desactualizadas, mientras que otros solo se completaron parcialmente (solo por correo postales). Qantas dijo a Reuters que los 5,7 millones de clientes afectados por su robo, el nombre, el número de teléfono y/o la dirección física de alrededor de 1 millón fueron accedidos por los delincuentes, mientras que para la mayor parte de los clientes, 4 millones, «solo» se accedió a su nombre y dirección de correo electrónico. En cuanto a los 700k restantes, el registro preguntó a la aerolínea sobre eso, pero no respondió de inmediato. Los clientes de 15 años o más serán notificados directamente de cómo se afectaron exactamente sus datos, dijo Qantas. Aquellos registrados en el programa de volantes frecuentes de la aerolínea también podrán ver sus tipos de datos afectados a través de la página de su cuenta como parte de una nueva característica que se lanzará a finales de esta semana. Qantas aseguró a aquellos debido a viajar en sus vuelos que no necesitan hacer nada de manera diferente, pero advirtió a los afectados que estén más atentos a las estafas, los intentos de phishing y similares. «Hemos aumentado los recursos en nuestros centros de contacto y tenemos una línea de soporte dedicada para apoyar a nuestros clientes», afirma su sitio web. «Se han implementado medidas de seguridad adicionales para restringir aún más el acceso y fortalecer el monitoreo y la detección del sistema. Esto incluye medidas de seguridad adicionales para cuentas de volantes frecuentes de Qantas para protegerlas aún más del acceso no autorizado, incluida la requerencia de identificación adicional para los cambios en la cuenta». La aerolínea agregó que no es consciente de que los delincuentes liberan datos de clientes en la web oscura, pero está monitoreando activamente si eso cambia. Qantas no ha confirmado qué tipo de ataque fue esto, si se trataba de una toma de datos de juego puro o si el ransomware y/o la extorsión estaban involucrados. En su página de preguntas frecuentes, dijo que sus sistemas de TI son seguros de usar: «Tomamos medidas inmediatas y contenimos el sistema, y los sistemas Qantas permanecen seguros». No se confirma nada con respecto a quién estaba detrás del ataque, pero el ruptura en Qantas siguió incursiones similares en otras aerolíneas como Hawai y WestJet, lo que llevó a los expertos a emitir advertencias sobre el aparente cambio de tachuelas de Spider dispersas. ® URL de publicación original: https://go.theregister.com/feed/www.theregister.com/2025/07/09/qantas_begins_telling_customers_data/
Veamos cómo Q hace Q con este guión y cuánto tiempo lleva 18 min Read · 25 de junio, 2025 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Automatización de seguridad (Pre-Ai). El código.. AI Automatización. El código.🔒 Historias relacionadas: CyberSecurity | Pruebas de penetración💻 Contenido gratuito en trabajos en ciberseguridad | ✉️ Regístrese para la lista de correo electrónico ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Me lleva a lograr estas cosas. Yo diría que este guión tomó entre 5 y 6 horas. Tal vez un poco más o menos porque estaba haciendo otras cosas al mismo tiempo o en el medio. El corte inicial para obtener un «funcionamiento» pero un script incorrecto fue tal vez una hora. El problema es que, como siempre, las cosas complicadas no le dan la respuesta correcta en el primer intento. Lo que parecía que iba a ser simple al principio no fue al final. Escribir el primer corte fue muy fácil, pero luego no pude entender por qué mi ID de AMI no coincidía con la consola AWS, por qué estaba obteniendo una versión de Kubernetes, una versión de soporte de mayor costo, etc., etc.
Estados Unidos ha anunciado el arresto de un presunto hacker patrocinado por el estado chino, acusado de participación en ataques de alto perfil, incluido el robo de la investigación Covid-19 de las universidades estadounidenses. El individuo también ha sido vinculado y la notoria campaña de Hafnium que se dirigió a los servidores de intercambio de Microsoft en 2020 y 2021. Los ataques fueron ordenados por las agencias de inteligencia de la República Popular de China (PRC), según el Departamento de Justicia de los Estados Unidos (DOJ). Nacional Chino Xu Zewei, de 33 años, fue arrestado el 3 de julio en Milán, Italia, a pedido del gobierno de los Estados Unidos. Xu y su coacusado, Zhang Yu, han sido acusados de una acusación de nueve cargos relacionada con su participación en las intrusiones informáticas entre febrero de 2020 y junio de 2021. Si se encuentra culpable en todos los cargos, Xu enfrenta una larga sentencia de prisión. Zhang actualmente permanece en general. Xu trabajó para una compañía llamada Shanghai Powerock Network Co. Ltd. al realizar los ataques. Estados Unidos cree que el gobierno de la RPC utiliza una extensa red de empresas privadas y contratistas en China, incluida Powerock, para infiltrarse en organizaciones y robar datos de una manera que oscurece la participación estatal. «Operando desde su refugio seguro y motivada por las ganancias, esta red de empresas privadas y contratistas en China emitió una amplia red para identificar computadoras vulnerables, explotar esas computadoras e identificar información que podría vender directa o indirectamente al gobierno de la RPC», escribió el DOJ. «Este enfoque en gran medida indiscriminada da como resultado más víctimas en los Estados Unidos y en otros lugares, más sistemas en todo el mundo dejaron vulnerables a la explotación futura por parte de terceros, y más información robada, a menudo sin interés para el gobierno de la RPC y, por lo tanto, se vendieron a otros terceros». Los datos de investigación de Covid-19 se dirigieron, robaron la acusación, anunciada el 8 de julio, alega que Xu robó la investigación crítica Covid-19 a instancias del gobierno chino. Esto coincidió con el momento en que el mismo gobierno retuvo información sobre el virus y sus orígenes, dijo Nicholas Ganjei, fiscal estadounidense del Distrito Sur de Texas. Los documentos judiciales afirman que a principios de 2020, Xu y sus conspiradores se dirigieron a universidades, inmunólogos y virólogos con sede en Estados Unidos que realizan investigaciones sobre vacunas, tratamiento y pruebas de CoVID-19. Los piratas informáticos informaron sus actividades a la agencia de inteligencia de la Oficina de Seguridad del Estado de Shanghai (SSSB), que supervisó y dirigió sus acciones. Por ejemplo, después de que Xu informara el compromiso de una universidad de investigación en Texas, un oficial de SSSB le ordenó que se dirigiera y accediera a cuentas de correo electrónico específicas (buzones) pertenecientes a virólogos e inmunólogos que participaron en la investigación Covid-19 para la Universidad. Más tarde, Xu confirmó al oficial de SSSB que adquirió el contenido de los buzones de los investigadores. La campaña de Hafnium utilizada para robar datos del gobierno confidencial a fines de 2020, Xu y sus conspiradores están acusados de explotar múltiples vulnerabilidades de día cero en Microsoft Exchange Server, como parte de la notoria campaña de Nafnium. Esta campaña patrocinada por el estado chino, que fue revelada públicamente por Microsoft en marzo de 2021, comprometió miles de computadoras en todo el mundo. Xu utilizó la explotación de Microsoft Exchange para violar información sobre responsables políticos y agencias gubernamentales específicos de los Estados Unidos. Esto incluyó el compromiso de otra universidad en Texas y un bufete de abogados con oficinas en todo el mundo. Después de explotar las computadoras que ejecutan Microsoft Exchange Server, Xu y sus co-conspiradores instalaron capas web para habilitar su administración remota. Estados Unidos atribuyó formalmente la campaña Hafnium a la República Popularista en julio de 2021. El subdirector Brett Leatherman de la División Cibernética del FBI, comentó: “A través de Hafnium, el PCCh apuntó a más de 60,000 entidades estadounidenses, victimizando con éxito más de 12,700 con el fin de robar información sensible. Hackers patrocinados por CCP responsables de sus crímenes «. Hacker vinculado al Grupo de Typhoon de Silk Comentando sobre la historia, John Hultquist, analista jefe de Google Amense Intelligence Group, dijo que Xu está afiliado a Silk Typhoon Group, conocido por su uso repetido de vulnerabilidades de día cero y compromisos exitosos de las firmas de tecnología en los ataques de la cadena de suministro. «Según se informa, este actor estuvo involucrado en intentos de apuntar a la investigación de Covid-19. En 2020, a raíz de la epidemia, la mayoría de los actores cibernéticos que rastreamos cambiaron su enfoque a Covid-19. Actores cibernéticos de espionaje con sede en Irán, Rusia, Corea del Norte y China. Hultquist dio la bienvenida al arresto de Xu, pero advirtió que es poco probable que el arresto tenga algún impacto en las operaciones cibernéticas patrocinadas por el estado chino a corto plazo. «Desafortunadamente, el impacto de este arresto no se sentirá de inmediato. Hay varios equipos compuestos por docenas de operadores que van a continuar llevando a cabo ciberespionaje.
Desde una ráfaga de ataques dirigidos a los minoristas del Reino Unido a campañas que acorralan los enrutadores al final de la vida a los botnets, es una envoltura en otro mes lleno de noticias impactantes de seguridad cibernética 30 de mayo de 2025 es que la hora del mes nuevamente cuando el evangelista de seguridad de ESET Tony Anscombe ofrece su toma de algunas de las noticias más impactantes de la cibernidad de los últimos 30 días. Aquí hay una selección de lo que se destacó en mayo de 2025: una advertencia de Google que dispersó Spider, la pandilla de piratería que orquestó ataques recientes en los minoristas de la calle alta en la calle, ahora está cambiando la vista a las empresas estadounidenses, a principios de mayo, Marks & Spencer confirmó que algunos datos de los clientes fueron robados en los ataques de los ataques en los minoristas del Reino Unido, lo que había provocado que los Moricones de los Morios se detuvieran a las orientaciones en línea de acosar, las orientaciones de los acosar, las orientaciones de los acosar, las orientaciones de los acosar, las orientaciones de los acosar, las orientaciones de los acosar, las orientaciones de los acosar, las medidas de los Monedas, las orientaciones de los Ciber, las medidas de los Mes. Anunció que los ataques de compromiso de correo electrónico comercial (BEC) y el fraude de transferencia de fondos (FTF) representaron el 60% de las reclamaciones el año pasado, mientras que el ransomware permaneció «el tipo más costoso y disruptivo de ciberataque», el FBI advierte sobre el malute que se dirige a los enrutadores finales de la vida en un intento de acorralarlos. No olvide visitar la edición de abril de 2025 del Roundup de noticias de seguridad mensuales de Tony para obtener más información. Conéctese con nosotros en Facebook, X, LinkedIn e Instagram.
Microsoft lanzó hoy actualizaciones para solucionar al menos 137 vulnerabilidades de seguridad en sus sistemas operativos de Windows y software compatible. Se sabe que ninguna de las debilidades abordadas este mes es explotada activamente, pero 14 de los fallas obtuvieron la calificación «crítica» más grave de Microsoft, lo que significa que podrían ser explotados para confiscar el control sobre las PC de Windows vulnerables con poca o ninguna ayuda de los usuarios. Si bien no figura como crítica, CVE-2025-49719 es una vulnerabilidad de divulgación de información divulgada públicamente, con todas las versiones desde SQL Server 2016 que reciben parches. Microsoft califica CVE-2025-49719 como menos propensos a ser explotados, pero la disponibilidad de código de prueba de concepto para este defecto significa que su parche probablemente debería ser una prioridad para las empresas afectadas. Mike Walters, cofundador de Action1, dijo que CVE-2025-49719 puede explotarse sin autenticación, y que muchas aplicaciones de terceros dependen de SQL Server y los controladores afectados, lo que puede introducir un riesgo de cadena de suministro que se extiende más allá de los usuarios directos de SQL Server. «La exposición potencial de la información confidencial hace de esta una preocupación de alta prioridad para las organizaciones que manejan datos valiosos o regulados», dijo Walters. «La naturaleza integral de las versiones afectadas, que abarcan múltiples versiones de SQL Server desde 2016 hasta 2022, indica un problema fundamental en cómo SQL Server maneja la gestión de la memoria y la validación de entrada». Adam Barnett en Rapid7 señala que hoy es el final del camino para SQL Server 2012, lo que significa que no habrá parches de seguridad futuros incluso para vulnerabilidades críticas, incluso si está dispuesto a pagar a Microsoft por el privilegio. Barnett también llamó la atención a CVE-2025-47981, una vulnerabilidad con un puntaje CVSS de 9.8 (10 siendo el peor), un error de ejecución de código remoto en la forma en que los servidores y los clientes de Windows negocian para descubrir mecanismos de autenticación de apoyo mutuo. Esta vulnerabilidad previa a la autenticación afecta a cualquier máquina cliente de Windows que ejecute Windows 10 1607 o superior, y todas las versiones actuales de Windows Server. Microsoft considera que es más probable que los atacantes exploten este defecto. Microsoft también reparó al menos cuatro fallas críticas de ejecución de código remoto en la oficina (CVE-2025-49695, CVE-2025-49696, CVE-2025-49697, CVE-2025-49702). Microsoft clasifica a los dos primeros por tener una mayor probabilidad de explotación, no requieren interacción del usuario y puede activarse a través del panel de vista previa. Dos errores más de alta gravedad incluyen CVE-2025-49740 (CVSS 8.8) y CVE-2025-47178 (CVSS 8.0); El primero es una debilidad que podría permitir que los archivos maliciosos elijan la detección de Microsoft Defender SmartScreen, una característica incorporada de Windows que intenta bloquear descargas no confiables y sitios maliciosos. CVE-2025-47178 implica una falla de ejecución de código remoto en Microsoft Configuration Manager, una herramienta empresarial para administrar, implementar y asegurar computadoras, servidores y dispositivos en una red. Ben Hopkins en Immersive Labs dijo que este error requiere privilegios muy bajos para explotar, y que es posible que un usuario o atacante con un papel de acceso de solo lectura lo explote. «La explotación de esta vulnerabilidad permite que un atacante ejecute consultas SQL arbitrarias como la cuenta de servicio SMS privilegiada en Microsoft Configuration Manager», dijo Hopkins. «Este acceso se puede utilizar para manipular implementaciones, impulsar el software malicioso o los scripts a todos los dispositivos administrados, alterar configuraciones, robar datos confidenciales y potencialmente escalarse a la ejecución completa del código del sistema operativo en toda la empresa, dando al atacante un amplio control sobre todo el entorno de TI». Por separado, Adobe ha lanzado actualizaciones de seguridad para una amplia gama de software, incluidos After Effects, Adobe Audition, Illustrator, FrameMaker y Coldfusion. El Centro de Tormenta Sans de Internet tiene un desglose de cada parche individual, indexado por la gravedad. Si es responsable de administrar varios sistemas de Windows, puede valer la pena vigilar a Askwoody para obtener las actualizaciones potencialmente inestables (considerando la gran cantidad de vulnerabilidades y componentes de Windows abordados este mes). Si es un usuario de Windows Home, considere hacer una copia de seguridad de sus datos y/o conducir antes de instalar cualquier parche, y suelte una nota en los comentarios si encuentra algún problema con estas actualizaciones.
Los presuntos miembros de alto rango de uno de los mercados en línea más grandes del mundo para datos filtrados han sido arrestados por la policía francesa. Agradeciendo a los informes de los medios locales, los policías de delitos cibernéticos franceses detuvieron a cuatro miembros prominentes del sitio de incumplimiento. Los sospechosos de los sospechosos de los sospechosos de los franquitos, los franquicias de los cyberce, los huertos deprimidos, el cyberce de los cyberce. (BL2C). Un quinto sospechoso, un ciudadano británico que usó el mango en línea Intelbroker, fue arrestado en Francia en febrero de acuerdo con un informe de DatabReaches.net, aunque no se hizo público hasta ahora. Un comunicado de prensa de los Departamento de Justicia de los Estados Unidos, ha informado cargos contra este quinto sospechoso, anhelando los datos de Kai West. Venta en 41 ocasiones y se ofreció a ayudar a distribuir datos pirateados de forma gratuita 117 veces. El Departamento de Justicia de los EE. UU. Afirma que West y sus conspiradores buscaron recolectar al menos dos millones de dólares, y causaron pérdidas de víctimas de al menos US $ 25 millones. Mientras tanto, las autoridades francesas han acusado a los sospechosos detenidos de llevar a cabo una ola de ataques contra organizaciones francesas, robando datos de los gustos de la firma de la firma de la firma de fútbol francés, y la agencia de empleo de la agencia. Para que los delincuentes intercambiaran credenciales de inicio de sesión robadas, herramientas de piratería, bases de datos incumplidas y otros servicios ilegales, fueron incautados por agencias de aplicación de la ley en mayo del año pasado. Brian Fitzpatrick (también conocido como «Pompompurin»). Fitzpatrick se vinculó más tarde a la fuga en línea de más de 200,000 información personal de los miembros de incumplimiento. Víctima de una vulnerabilidad de día cero en su software del foro.
En otra instancia de los actores de amenaza que reutilizan las herramientas legítimas para fines maliciosos, se ha descubierto que los piratas informáticos están explotando una popular herramienta de equipo rojo llamada Shellter para distribuir el malware del Stealer. La compañía detrás del software dijo que una compañía que había comprado recientemente las licencias de Shellter Elite filtró su copia, lo que llevó a los actores maliciosos a armarse la herramienta para las campañas de InfoTealer. Desde entonces, se ha lanzado una actualización para conectar el problema. «A pesar de nuestro riguroso proceso de investigación, que ha impedido con éxito tales incidentes desde el lanzamiento de Shellter Pro Plus en febrero de 2023, ahora nos encontramos abordando esta desafortunada situación», dijo el equipo del Proyecto Shellter en un comunicado. La respuesta se produce poco después de que elastic Security Labs publicara un informe sobre cómo el marco de evasión comercial está siendo abusado en la naturaleza desde abril de 2025 para propagar Lumma Stealer, Rhadamanthys Stealer y Sectoprat (también conocido como ArechClient2). Shellter es una herramienta potente que permite a los equipos de seguridad ofensivos omitir el software antivirus y detección y respuesta de punto final (EDR) instalado en puntos finales. Elastic dijo que identificó múltiples campañas de Infente de Infente de Motivado Financieramente que usa Shellter para empaquetar las cargas útiles a fines de abril de 2025, con la actividad aprovechando a Shellter Elite versión 11.0 lanzado el 16 de abril de 2025. «Las muestras protegidas de Shellter comúnmente emplean Shellcode auto modificador con la obfuscación polimórfica a sí mismos dentro de los programas legítimos», dijo la compañía. «Esta combinación de instrucciones legítimas y código polimórfico ayuda a estos archivos a evadir la detección y las firmas estáticas, lo que les permite permanecer sin ser detectados». Se cree que algunas de las campañas, incluidas las que entregan sectoprat y robador de Rhadamanthys, adoptaron la herramienta después de que la versión 11 saliera a la venta en un popular foro de delitos cibernéticos a mediados de mayo, utilizando señuelos relacionados con oportunidades de patrocinio dirigidas a creadores de contenido, así como a través de videos de YouTube que reclaman a ofrecer modificaciones gaming como Fortnite trampa. Se dice que las cadenas de ataque de Lumma Staaler que aprovechan a Shellter, por otro lado, se diseminó a través de cargas útiles alojadas en Mediafire a fines de abril de 2025. Con versiones agrietadas de Cobalt Strike y Brute Ratel C4 anteriormente encontrando su camino hacia las manos de los ciberdriminales y los actores de estado nacional, no sería una sorpresa una sorpresa si Shellter siga un seguimiento similar. «A pesar de los mejores esfuerzos de la comunidad comercial de OST para retener sus herramientas para fines legítimos, los métodos de mitigación son imperfectos», dijo Elastic. «Aunque el proyecto Shellter es una víctima en este caso a través de la pérdida de propiedad intelectual y el tiempo de desarrollo futuro, otros participantes en el espacio de seguridad ahora deben lidiar con amenazas reales que manejan herramientas más capaces». Sin embargo, el proyecto Shellter criticó a Elastic por «priorizar la publicidad sobre la seguridad pública» y por actuar de una manera que dijo que era «imprudente y poco profesional» al no notificarles rápidamente. En una declaración compartida con The Hacker News, Elastic Security Labs dijo que se dio cuenta de la actividad potencialmente sospechosa el 18 de junio de 2025 y que está comprometido con «transparencia, investigación responsable y apertura». Toda la declaración de la compañía está a continuación: nuestra publicación de investigación, que describe varias amenazas motivadas financieramente y el marco comercial de evasión AV/EDR (Shellter), se realizó en línea con nuestro compromiso con la transparencia, la divulgación responsable y una mentalidad de defensor primero. El equipo de Elastic Security Labs se dio cuenta de la actividad potencialmente sospechosa el 18 de junio de 2025, y rápidamente comenzó a investigar los comportamientos que identificamos como actividades maliciosas previamente no detectadas utilizando información y telemetría públicamente disponibles voluntariamente por nuestros usuarios. Después de nuestra investigación inicial y después de un análisis riguroso, determinamos que la herramienta pública disponible, Shellter, se estaba utilizando para fines de evasión. Nuestros hallazgos fueron publicados dentro de las dos semanas de esta determinación. Publicamos nuestros hallazgos directa y transparentemente para informar a los defensores lo más rápido posible, al igual que el estándar de la industria y parte del trabajo para nuestros clientes y usuarios. Nuestra prioridad es informar a la comunidad de seguridad de manera rápida y precisa sobre nuestra investigación. Creemos que el interés público se sirve mejor revelando la investigación lo más rápido posible, una vez que se ha concluido un análisis exhaustivo, para ayudar a los defensores a responder a las amenazas emergentes, incluidas las técnicas utilizadas para evitar los controles de seguridad. Elastic Security Labs está compuesto por investigadores de malware, científicos de datos, ingenieros de seguridad ofensivos y analistas de inteligencia que han descubierto docenas de amenazas novedosas y Tradecraft adversario. Nuestro trabajo ayuda constantemente a las organizaciones a mantenerse a la vanguardia de las amenazas emergentes, y seguimos comprometidos con operar con profesionalismo, integridad y una mentalidad de defensor primero. (La historia se actualizó después de la publicación para incluir una respuesta de Elastic Security Labs.) ¿Encontró este artículo interesante? Síganos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.
La ciberseguridad es un campo de rápido crecimiento, con una necesidad constante de profesionales calificados. Pero a diferencia de otras profesiones, como la medicina o la aviación, no hay una vía clara para calificar para las posiciones de ciberseguridad. Para los empleadores y los solicitantes de empleo por igual, esto puede hacer que el viaje para construir un equipo (o ingresar a una carrera exitosa de ciberseguridad) se sienta incierto. Ingrese el programa de aprendizaje registrado, un método probado para desarrollar talento calificado en ciberseguridad que beneficie tanto al empleador como al nuevo profesional. Comprometemos a apoyar este importante enfoque de desarrollo de talento a medida que celebramos la Semana Nacional de Aprendizaje del 17 al 23 de noviembre de 2024. ¿Qué es un aprendizaje de ciberseguridad? Un aprendizaje es un programa de capacitación en el trabajo pagado donde las personas aprenden habilidades esenciales mientras trabajan junto a profesionales experimentados. A diferencia de las rutas educativas tradicionales, los aprendizajes combinan lo mejor de ambos mundos: Gann-While-You Learn, con experiencia en el mundo real en el campo. El aprendiz es guiado por un mentor y puede esperar obtener experiencia durante uno o dos años, a menudo culminando en una oferta de trabajo permanente a tiempo completo. Al igual que un residente médico o un aprendiz de aviación, un aprendiz de seguridad cibernética se beneficia de un aprendizaje estructurado y práctico, con una tutoría que garantiza que desarrollen las habilidades técnicas y laborales en el lugar de trabajo y la confianza necesaria para tener éxito. Los completos del programa de aprendizaje exitoso también obtienen una o más credenciales o certificaciones portátiles, reconocidas a nivel nacional y valores de la industria. «El programa de aprendizaje me ha permitido ingresar a un campo/posición en el que la mayoría no puede ingresar sin un título de 4 años», dijo Brittany Patterson-Morris, aprendiz de Interapt, un programa de aprendizaje de servicios de TI. Por qué los aprendizajes de ciberseguridad en el momento de 2023, casi 61,000 personas participaron en un programa de aprendizaje de seguridad cibernética registrada en los EE. UU., Un aumento del 254% en solo cinco años, según la Oficina de Aprendizaje del Departamento de Trabajo (DOL). Este crecimiento refleja un cambio fundamental en la forma en que preparamos la próxima generación de profesionales de ciberseguridad. Como dice Carla Miller de Albireo Energy, «es lo que necesitamos para expandir la fuerza laboral».[1]Para los empleadores, los aprendizajes pueden ser una forma asequible de construir una fuerza laboral desde cero, asegurando que las nuevas contrataciones estén capacitadas con las habilidades específicas que necesitan. Chris Dunn, fundador de Cuber 6, acciones, «Nuestros programas de aprendizaje de seguridad cibernética nos han ayudado a atraer candidatos apasionados al tiempo que reducen las barreras de tiempo y costos de la capacitación tradicional».[2] Los empleadores también pueden usar aprendizajes para mejorar los empleados actuales, proporcionando una carrera profesional para retener a los trabajadores probados. Para los solicitantes de empleo, los aprendizajes ofrecen una vía directa a una carrera, completa con certificaciones y tutoría. «La clave es combinar una práctica intensiva en el trabajo con un aprendizaje asíncrono actualizado y actualizado», dice Ximena Gates, CEO de Buildwithin, una compañía de software de gestión de aprendizaje construida por antiguos aprendices. «Esto es ideal para los cambiadores de carrera y aquellos sin antecedentes técnicos, ya que las habilidades pueden transferirse de otras disciplinas». Una forma en que los empleadores pueden acelerar un nuevo programa es asociarse con un intermediario. Como el intermediario de la industria nacional de DOL para la expansión del aprendizaje de seguridad cibernética, Safal Partners ayuda a los empleadores a navegar de manera más rápida, fácil y efectiva los aprendices registrados. «Los empleadores de cualquier tamaño pueden unirse a nuestro programa nacional de aprendizaje registrado ya aprobado, acceder a la experiencia de aprendizaje sin costo para construir o expandir su propio programa, utilizar cursos en línea construidos por la industria para sus aprendices y obtener soporte de programas en curso para financiar, modificar y mantener su programa», dijo Katie Adams, director de entrega de Safal Partners. ¿Listo para tomar medidas? Ya sea que sea un empleador que busque aprovechar el creciente grupo de talentos o un buscador de trabajo ansioso por lanzar una carrera de ciberseguridad, hay muchos recursos para ayudar. Por ejemplo, puede: al invertir en aprendizajes, no solo está apoyando la próxima ola de profesionales de ciberseguridad, sino que también está ayudando a garantizar que su organización se mantenga adelante en un campo que sea más crucial que nunca.[1] Enlace ya no está disponible