Microsoft Corp. emitió actualizaciones de seguridad hoy para solucionar más de 80 vulnerabilidades en sus sistemas y software operativos de Windows. No se conocen vulnerabilidades de «día cero» o explotadas activamente en el paquete de este mes de Redmond, que, sin embargo, incluye parches para 13 fallas que obtuvieron la etiqueta «crítica» más se arean de Microsoft. Mientras tanto, tanto Apple como Google publicaron recientemente actualizaciones para solucionar errores de día cero en sus dispositivos. Microsoft asigna defectos de seguridad una calificación «crítica» cuando el malware o los delincuentes pueden explotarlos para obtener acceso remoto a un sistema de Windows con poca o ninguna ayuda de los usuarios. Entre los errores críticos más preocupados este mes está CVE-2025-54918. El problema aquí reside con Windows NTLM, o NT LAN Manager, un conjunto de código para administrar la autenticación en un entorno de red de Windows. Redmond califica este defecto como «explotación más probable», y aunque se enumera como una vulnerabilidad de escalada de privilegios, Kev Breen en Immersive dice que este es realmente explotable en la red o Internet. «Desde la descripción limitada de Microsoft, parece que si un atacante puede enviar paquetes especialmente elaborados a través de la red hasta el dispositivo objetivo, tendrían la capacidad de obtener privilegios a nivel de sistema en la máquina de destino», dijo Breen. «Las señales de parche para esta vulnerabilidad afirman que» la autenticación inadecuada en Windows NTLM permite a un atacante autorizado elevar los privilegios a través de una red, «sugiriendo que un atacante ya debe necesitar tener acceso al hash NTLM o las credenciales del usuario». Breen dijo que otro parche: CVE-2025-55234, un defecto de 8,8 deformaciones con puntajes CVSS que afecta al cliente SMB de Windows para compartir archivos en una red, también figura como un error de escalada privilegial, pero también es remotamente explotable. Esta vulnerabilidad fue revelada públicamente antes de este mes. «Microsoft dice que un atacante con acceso a la red podría realizar un ataque de repetición contra un host objetivo, lo que podría hacer que el atacante obtenga privilegios adicionales, lo que podría conducir a la ejecución del código», señaló Breen. CVE-2025-54916 es una vulnerabilidad «importante» en Windows NTFS, el sistema de archivos predeterminado para todas las versiones modernas de Windows, que pueden conducir a la ejecución de código remoto. Microsoft también cree que es más que probable que veamos la explotación de este error pronto: la última vez que Microsoft parcheó un error NTFS fue en marzo de 2025 y ya estaba siendo explotado en la naturaleza como un día cero. «Si bien el título de la CVE dice ‘Ejecución de código remoto’, esta exploit no es remotamente explotable en la red, sino que necesita un atacante para tener la capacidad de ejecutar código en el host o convencer a un usuario de ejecutar un archivo que active el exploit», dijo Breen. «Esto se ve comúnmente en los ataques de ingeniería social, donde envían un archivo al usuario para que se abra como un archivo adjunto o un enlace a un archivo para descargar y ejecutar». Los errores de ejecución de código crítico y remoto tienden a robar todo el centro de atención, pero el ingeniero de investigación de personal senior de tenable Satnam Narang señala que casi la mitad de todas las vulnerabilidades fijadas por Microsoft este mes son fallas de escalada de privilegios que requieren que un atacante haya obtenido acceso a un sistema objetivo primero antes de intentar elevar las privilegios. «Por tercera vez este año, Microsoft reparó más la elevación de las vulnerabilidades de privilegios que las fallas de ejecución de código remoto», observó Narang. El 3 de septiembre, Google fijó dos fallas que se detectaron como explotadas en ataques de día cero, incluido CVE-2025-38352, una elevación de privilegio en el núcleo de Android y CVE-2025-48543, también una elevación del problema de privilegio en el componente de tiempo de ejecución de Android. Además, Apple parcheó recientemente su séptimo día cero (CVE-2025-43300) de este año. Era parte de una cadena de exploit utilizada junto con una vulnerabilidad en el mensajero instantáneo de WhatsApp (CVE-2025-55177) para piratear dispositivos Apple. Amnistía Internacional informa que los dos días cero se han utilizado en «una campaña de spyware avanzada» en los últimos 90 días. El problema se soluciona en iOS 18.6.2, iPados 18.6.2, iPados 17.7.10, MacOS Sequoia 15.6.1, Macos Sonoma 14.7.8 y MacOS Ventura 13.7.8. El Sans Internet Storm Center tiene un desglose en el que se puede hacer clic en cada solución individual de Microsoft, indexada por severidad y puntaje CVSS. Los administradores de Windows de Enterprise involucrados en los parches de prueba antes de rodarlos deben vigilar a Askwoody.com, que a menudo tiene el flaco en actualizaciones inestables. Askwoody también nos recuerda que ahora solo estamos de dos meses de que Microsoft descontinúe las actualizaciones de seguridad gratuitas para las computadoras de Windows 10. Para aquellos interesados en extender de manera segura la vida útil y la utilidad de estas máquinas más antiguas, visite la cobertura del martes del parche del mes pasado para obtener algunos consejos. Como siempre, no descuida la copia de seguridad de sus datos (si no todo su sistema) a intervalos regulares, y no dude en sonar en los comentarios si experimenta problemas para instalar alguna de estas correcciones.
Categoría: Ciberseguridad Página 7 de 106
Un tribunal federal de los Estados Unidos ha sin sellado cargos contra un ciudadano ucraniano que alegan que las autoridades alegan que era una figura clave detrás de varias cepas de ransomware, incluidos LockerGoga, Megacortex y Nefilim. Volodymyr Viktorovich Tymoshchuk (quien también se dice que usa los alias «Deadforz», «Boba», «MSFV» y «Farnetwork») ha sido acusado por su supuesto papel en una serie de ataques de ransomware que extorsionaron a más de 250 compañías en los Estados Unidos y cientos más globales. Según un comunicado de prensa del Departamento de Justicia de EE. UU. Sobre la acusación, se dice que TyMoshchuk ha utilizado variantes de LockerGoga, Megacortex y Nefilim Ransomware entre diciembre de 2018 y octubre de 2021 para cifrar redes informáticas en todo el mundo, causando pérdidas por un total de millones de dólares. Sin embargo, se afirma que muchos de los intentos de extorsión fracasaron porque las agencias de aplicación de la ley notificaron a las víctimas que sus redes habían sido comprometidas por Tymoshchuk y sus conspiradores antes de que se desplegara la carga útil de ransomware. El ransomware LockerGoga ganó notoriedad después de una serie de ataques de alto perfil, incluido el Hack Of Norsk Hydro 2019, un importante productor de aluminio y energía hidroeléctrica en Noruega. Otras víctimas han incluido la firma de ingeniería francesa Altran y las empresas industriales Hexion y Momentive. Las actividades de LockerGoga se detuvieron repentinamente en octubre de 2021, después de que Europol arrestó a 12 personas que supuestamente estaban conectadas con el grupo en Ucrania y Suiza. En septiembre de 2022, las claves de descifrado asociadas con el ransomware LockerGoga se pusieron a disposición del público en general a través del proyecto No More Ransom, ayudando a las empresas a desbloquear sus datos y computadoras comprometidas sin tener que pagar un rescate. Se puso a disposición un descriptor similar para la megacorteza en enero de 2023. Luego, en noviembre de 2023, Europol anunció que se habían realizado más arrestos en Kiev, Ucrania, desmantelando el grupo de ransomware que se cree que se ha desplegado variantes de LockerGoga, Megacorte, Hive y Dharma. El equipo informático, los automóviles, las tarjetas de pago, las tarjetas SIM, así como los activos financieros y de criptomonedas fueron incautados por las autoridades. Según el Fiscal de los Estados Unidos de Joseph Nocella Jr. para el Distrito Este de Nueva York, TyMoshchuk es «un criminal de ransomware en serie que se dirigió a empresas estadounidenses de chip azules, instituciones de atención médica y grandes empresas industriales extranjeras, y amenazó con filtrar sus datos confidenciales en línea si se negaban a pagar». Pero desafortunadamente para las autoridades estadounidenses, no tienen TyMoshchuk, de 28 años, bajo su custodia. Lo que sí tienen es una recompensa de diez millones de dólares, para cualquiera que pueda darles información que conduzca al arresto y la condena de Volodymyr Viktorovych Tymoshchuk. Se han puesto a disposición otros US $ 1,000,000 para obtener información que conduzca al arresto y/o convicción de otros líderes clave de los artículos de Nefilim, LockerGoga y Megacortex Ransomware, las opiniones expresadas en este y otros artículos de autores invitados son únicamente las del contribuyente y no reflejan necesariamente las de Fortra.
Los actores de amenaza afiliados al Grupo de Ransomware Akira han seguido dirigiéndose a los dispositivos SonicWall para el acceso inicial. La firma de seguridad cibernética Rapid7 dijo que observó un aumento en las intrusiones que involucran electrodomésticos de Sonicwall durante el mes pasado, particularmente siguiendo informes sobre la actividad renovada de ransomware Akira desde finales de julio de 2025. Sonicwall posteriormente reveló la actividad de VPN SSL dirigida a sus firewalls involucrados por un año de seguridad de un año (CVE-2024-407666666, CVSss: 9.3. durante la migración y no reiniciar. «Estamos observando una mayor actividad de amenazas de los actores que intentan las credenciales de los usuarios de la fuerza bruta», señaló la compañía. «Para mitigar el riesgo, los clientes deben permitir el filtrado de Botnet para bloquear a los actores de amenaza conocidos y garantizar que las políticas de bloqueo de la cuenta estén habilitadas». Sonicwall también ha instado a los usuarios a revisar los grupos de usuarios predeterminados de LDAP SSL VPN, describiéndolo como un «punto débil crítico» si está mal configurado en el contexto de un ataque de ransomware AKIRA; esta configuración agrega automáticamente cada usuario LDAP autenticado con éxito a un grupo local predefinido, independientemente de su membresía real en un directorio activo. Si ese grupo predeterminado tiene acceso a servicios confidenciales, como SSL VPN, interfaces administrativas o zonas de red sin restricciones, entonces cualquier cuenta publicitaria comprometida, incluso una sin necesidad legítima de esos servicios, heredará instantáneamente esos permisos. Esto omite efectivamente los controles de acceso grupales de AD, lo que brinda a los atacantes una ruta directa al perímetro de la red tan pronto como obtienen credenciales válidas. Rapid7, en su alerta, dijo que también ha observado a los actores de amenaza que acceden al portal de oficina virtual alojado por los electrodomésticos SonicWall, que, en ciertas configuraciones predeterminadas, pueden facilitar el acceso público y permitir a los atacantes configurar MMFA/TOTP con cuentas válidas, suponiendo que haya una exposición de credencial previa. «El grupo Akira está utilizando una combinación de estos tres riesgos de seguridad para obtener acceso no autorizado y realizar operaciones de ransomware», dijo. Para mitigar el riesgo, se aconseja a las organizaciones que rotaran contraseñas en todas las cuentas locales de Sonicwall, eliminen las cuentas locales de Sonicwall no utilizadas o inactivas, aseguren que las políticas de MFA/TOTP estén configuradas y restrinjan el acceso de portal de oficina virtual a la red interna. La orientación de Akira de SonicWall SSL VPNS también ha sido ecológica por el Centro de Seguridad Cibernética (ACSC) australiano, que reconoció que es consciente de la pandilla de ransomware que golpean las organizaciones australianas vulnerables a través de los dispositivos. Desde su debut en marzo de 2023, Akira ha sido una amenaza persistente en el panorama de amenazas de ransomware, reclamando 967 víctimas hasta la fecha, según la información de Ransomware.Live. Según las estadísticas compartidas por Cyfirma, Akira representó 40 ataques en el mes de julio de 2025, lo que lo convierte en el tercer grupo más activo después de Qilin e Inc Ransom. De los 657 ataques de ransomware que afectan a las entidades industriales en todo el mundo marcadas en el segundo trimestre de 2025, Qilin, Akira, y Play Ransomware Families tomaron las tres primeras espacios, cada uno de los informes 101, 79 y 75 incidentes, respectivamente. Akira mantuvo «actividad sustancial con una focalización constante de los sectores de fabricación y transporte a través de sofisticados phishing e implementaciones de ransomware multiplataforma», dijo Dragos de la compañía de ciberseguridad industrial en un informe publicado el mes pasado. Las recientes infecciones por ransomware de Akira también han aprovechado las técnicas de envenenamiento de la optimización de motores de búsqueda (SEO) para administrar instaladores troyanizados para herramientas populares de gestión de TI, que luego se utilizan para soltar el cargador de malware Bumblebee. Los ataques luego utilizan Bumblebee como un conducto para distribuir el marco de emulación y emulación adversario de adaptixc2, instalar Rustdesk para el acceso remoto persistente, exfiltrado e implementar el ransomware. Según la Unidad 42 de Palo Alto Networks, la naturaleza versátil y modular de AdaptIXC2 puede permitir a los actores de amenaza ejecutar comandos, transferir archivos y realizar la exfiltración de datos en sistemas infectados. El hecho de que también sea de código abierto significa que los adversarios pueden personalizarlo para satisfacer sus necesidades. Otras campañas que propagan a AdaptIXC2, dijo la compañía de seguridad cibernética, han utilizado las llamadas de equipos de Microsoft que imitan la mesa de ayuda para engañar a los usuarios desprevenidos para que les otorguen acceso remoto a través de asistencia rápida y soltar un script de PowerShell que descifra y carga en la memoria la carga útil de ShellCode. «El Grupo de Ransomware Akira sigue un flujo de ataque estándar: obtener acceso inicial a través del componente SSLVPN, aumentar los privilegios a una cuenta elevada o una cuenta de servicio, localizar y robar archivos confidenciales de los acciones de la red o los servidores de archivos, deletear o detener copias de seguridad e implementar la cifra de ransomware en el nivel del hipervisor
Sam M. ha pasado más de 20 años construyendo sitios web, sistemas de prueba y proyectos de tecnología. Él conoce el código, entiende cómo funciona Internet y está entrenado para detectar banderas rojas digitales. Nada de eso le impidió perder $ 13,000 ante estafadores. «He estado lo suficiente como para haberlo visto venir», admite Sam. «Pero cuando buscas trabajo, tienes anteojeras. Solo quieres que algo funcione». Su historia refleja una realidad creciente. Los datos de McAfee muestran que las estafas relacionadas con el trabajo han explotado en más del 1,000% desde mayo hasta julio de 2025, lo que hace que Sam sea parte de una ola masiva de estadounidenses que enfrentan un fraude laboral cada vez más sofisticado. Pero esto es lo que es empoderador: con la protección correcta, estas estafas se pueden ver antes de golpearlo a usted y a su billetera. La configuración perfecta de Sam’s Scam comenzó con lo que parecía una oportunidad legítima: un sitio web pulido que ofrece trabajo a tiempo parcial revisando productos en línea. El sitio tenía todos los elementos correctos: diseño profesional, autenticación de usuarios y un proceso lógico. Incluso su esposa, quien le advirtió que «si suena demasiado bueno para ser verdad, probablemente lo sea», tuvo que admitir que las tasas de pago no eran poco realistas. «Pensé que valía la pena intentarlo», dijo Sam. «He construido sitios web, y este se veía bien. Tenías que iniciar sesión, autenticar. Todo parecía legítimo». Este enfoque sofisticado refleja cómo han evolucionado los estafadores de empleo. Ya no envían correos electrónicos obviamente falsos con errores de ortografía. Los estafadores de hoy estudian plataformas de trabajo reales, imitan procesos legítimos y explotan el lenguaje específico que los solicitantes de empleo esperan ver. El análisis de McAfee muestra que los estafadores están particularmente centrados en términos relacionados con los beneficios como «reanudar», «recluta», «maternidad» y «paternidad» para hacer que sus ofertas suenen más creíbles. ¿La buena noticia? La tecnología de detección de estafas avanzada puede identificar automáticamente estas tácticas sofisticadas antes de que las encuentres. El gancho y la trampa de la estafa siguieron un patrón clásico: establecer confianza y luego explotarlo. Sam fue emparejado con un entrenador, guiado a través de la revisión de productos, se le pidió que cargara capturas de pantalla. Luego vino el momento crucial. «Ese primer pago, un par de cientos de dólares, me enganchó», recordó Sam. «Pensé, esto está funcionando. Esto es real». Pero una vez que se invirtió Sam, el terreno cambió. Apareció un «producto especial», y de repente su cuenta mostró un saldo negativo. El entrenador explicó que necesitaba depositar dinero para continuar. Al principio parecía razonable, pero era el comienzo de una espiral de muerte financiera. «Seguían diciéndome: ‘Solo un poco más y lo desbloquearás'», dijo Sam. «Y seguí persiguiéndolo». Este modelo de «tarifa anticipada» se ha vuelto cada vez más común en las estafas de trabajo. Se les pide a las víctimas que paguen por materiales de capacitación, verificaciones de antecedentes o equipos. Cada pago es seguido por una solicitud de más dinero, creando un ciclo que es psicológicamente difícil de romper. El alcance del problema que la experiencia de Sam se ajusta a una crisis mucho mayor, pero comprender el alcance nos ayuda a mantenernos por delante. Según los datos de McAfee, el 45% de los estadounidenses dicen que han experimentado personalmente una estafa de búsqueda de empleo o conocen a alguien que lo ha hecho. Eso significa que casi la mitad del país ha sido tocado por el fraude laboral de alguna manera. El alcance se extiende más allá de las historias individuales. Casi 1 de cada 3 estadounidenses (31%) informan estafas de oferta de trabajo a través de mensajes de texto, que muestran cómo estos esquemas se han movido más allá del correo electrónico a nuestras conversaciones diarias. Las personas ahora reciben un promedio de 14 mensajes de estafa diariamente en todas las plataformas. Las estafas de trabajo por correo electrónico solo aumentaron un 60% entre junio y julio de 2025, siendo el «currículum» la palabra señora más utilizada. Pero esto es lo alentador: cuando las estafas se pueden identificar automáticamente, las personas pueden mantenerse un paso por delante de los estafadores antes de que ocurra cualquier daño. El costo real para cuando Sam se extrajo de la estafa, había bajado más de $ 13,000. Su pérdida refleja tendencias más amplias: la investigación de McAfee muestra que las víctimas de estafas pierden un promedio de $ 1,471 por estafa, con $ 12 mil millones reportados perdidos por fraude solo en 2024, un 21% más que el año anterior. Pero la pérdida financiera no fue la peor parte para Sam. «Estaba furioso con ellos, pero también conmigo mismo», dijo. «Se supone que debo saber mejor. Me sentí estúpido. Me sentí agotado». Este impacto emocional se extiende más allá de la vergüenza individual. Estos esquemas atacan a las personas cuando ya son vulnerables, convirtiendo la búsqueda de un trabajo legítimo en otra fuente de estrés y sospecha. «Te desgasta», explicó Sam. «Cada vez que crees que has encontrado algo bueno, resulta ser una estafa. Te golpean nuevamente. Y comienzas a preguntarte si alguna vez encontrarás algo real». La solución no es dejar de confiar por completo. Es tener las herramientas adecuadas para distinguir con confianza entre lo que es real y lo que es falso antes de hacer clic. Mantener un paso adelante a pesar de sus pérdidas, Sam mantiene la perspectiva sobre su situación. Él conoce a personas que han perdido todo en estafas, incluidas sus hogares y ahorros. «Tan difícil que fuera, no perdí todo», dijo. «La vida de mi familia no tuvo que cambiar. Otros no son tan afortunados». Ahora Sam se adhiere a las plataformas de trabajo establecidas como LinkedIn y Glassdoor, evitando sitios web que prometen dinero fácil. También se compromete a compartir su historia como advertencia para los demás. «Me atraparon, lo admito», dijo. «Pero no soy el único. Y si contar mi historia ayuda a alguien más a detenerse antes de que sea demasiado tarde, entonces vale la pena». La realidad es que en el panorama digital actual, donde las personas reciben 14 mensajes de estafa diariamente, la vigilancia individual sola no es suficiente. Lo que se necesita es una protección automática que funciona en segundo plano, identificando textos sospechosos, correos electrónicos y videos antes de encontrarlos. El detector de estafas de McAfee proporciona exactamente eso: ¿real o falso? El detector de estafas lo sabe. Sepa lo que es real antes de hacer clic en la experiencia de Sam destaca varias señales de advertencia que los solicitantes de empleo deben reconocer, pero la protección de estafa moderna va mucho más allá de la vigilancia manual: señales de advertencia tradicionales: pagos por adelantado (los empleadores legítimos no piden a los empleados que pagan por el privilegio de trabajo) descripciones de trabajo vago (trabajos reales tienen requisitos específicos y responsabilidades claras) tácticas (tácticas de presión (táctica (táctica (táctica (táctica (táctica clara a menudo crean arte de trabajo a la urgencia de trabajo) Pague (Investigue salarios típicos para roles similares en su área) Comunicación deficiente (las compañías legítimas usan direcciones de correo electrónico profesionales e información de contacto clara) Alertas de rayo: con el detector de estafas de McAfee, obtiene alertas automáticas sobre textos, correos electrónicos y videos sospechosos antes de hacer clic. La tecnología identifica automáticamente mensajes riesgosos utilizando AI avanzada, por lo que no tiene que preguntarse qué es real y qué es falso en línea. El crecimiento explosivo en las estafas laborales, con su aumento de más de 1,000%en solo unos pocos meses, muestra que este desafío no está desapareciendo. Pero a medida que la tecnología de estafa evoluciona, también lo hace la protección de la estafa. La inteligencia y la experiencia por sí solas no son suficientes para combatir el engaño bien elaborado, pero la tecnología de detección automática puede identificar estos esquemas sofisticados antes de que se comuniquen con usted. La historia de Sam nos recuerda que cualquiera puede ser atacada, pero con la protección adecuada, puede detectar estafas antes de golpearlo a usted y su billetera. En un mercado laboral donde las personas reciben múltiples mensajes sospechosos diariamente, la confianza proviene de saber que tiene tecnología trabajando en el fondo para distinguir lo que es real de lo que es falso. Con una protección de estafa proactiva diseñada con usted en mente, puede disfrutar de la paz de una búsqueda sin estafa y centrarse en encontrar oportunidades legítimas. ¿Real o falso? Sabrás antes de hacer clic. Presentación de protección y privacidad de robo de identidad McAfee para su vida digital Descargar McAfee+ Today \ x3cimg Height = «1» width = «1» style = «Display: None» src = «https://www.facebook.com/tr?id=766537420057144&ev=pageView&niscript=1/> \ x3c/niscript/niscript/’;
El equipo de seguridad y cumplimiento de LevelBlue es consciente de la vulnerabilidad de SalesLoft que afecta a las integraciones de chatbot a la deriva. LevelBlue y sus entidades afiliadas no utilizan la deriva, y Salesforce ha confirmado que el incidente no afectó a los clientes sin esta integración. Según la información actual, confirmamos que no ha habido exposición ni impacto para nosotros o nuestros clientes. En caso de que surja una nueva información que altere esta evaluación, proporcionaremos una actualización directamente. Para obtener experiencia adicional sobre la vulnerabilidad, SalesLoft Drift, un complemento de terceros para Salesforce para ayudar a automatizar los clientes potenciales de contacto y ventas, se vio comprometido entre marzo a agosto de 2025. El compromiso expuesto OAuth tokens que permitió al actor de amenazas (un UNC6395 por un UNC6395) a la autenticación de omisión (incluido MFA) donde los clientes de la deriva se habían integrado con ventas con ventas. Esto dio a los actores de amenaza acceso a los datos de Salesforce de cientos de organizaciones, incluidas Google, Cisco, Adidas, Cloudflare, Zscaler y Palo Alto Networks. El ataque El compromiso inicial comenzó en marzo cuando el actor de amenazas obtuvo acceso a través de medios desconocidos para la cuenta SalesLoft Github, descargando múltiples repositorios de código privado. El atacante mantuvo acceso a al menos junio. La información filtrada permitió al actor de amenaza que pivotó el entorno AWS de Drift a principios de agosto, aprovechando ese acceso a robar tokens OAuth para las integraciones de deriva. El actor de amenaza utilizó los tokens OAuth para acceder a las integraciones de Salesforce de los clientes de Drift, permitiendo la descarga y la exfiltración de estos datos. En un intento por evadir forense, el actor de amenaza también eliminó los registros registrados de las consultas y los trabajos de exportación. A partir del 9 de septiembre, se ha restaurado la integración entre SalesLoft y Salesforce. Conclusión Este tipo de ataques causa daño masivo con un solo compromiso, porque se dirigen a la cadena de suministro de las principales organizaciones en lugar de atacar a las organizaciones directamente. Al comprometer solo una organización, SalesLoft Drift, los actores de amenaza pudieron pivotar ese acceso a comprometer a cientos de organizaciones. En la actualidad, es vital tomar un inventario de los proveedores externos en los que se basa y documentar el efecto en su negocio si uno de esos proveedores se ve comprometido. Finalmente, asegúrese de que sus proveedores estén haciendo su diligencia debida para asegurarse. El contenido proporcionado en este documento es solo para fines informativos generales y no debe interpretarse como asesoramiento legal, regulatorio, de cumplimiento o ciberseguridad. Las organizaciones deben consultar a sus propios profesionales legales, de cumplimiento o ciberseguridad sobre obligaciones específicas y estrategias de gestión de riesgos. Si bien las soluciones de detección y respuesta de amenazas administradas de LevelBlue están diseñadas para respaldar la detección y respuesta de amenazas en el nivel de punto final, no son un sustituto para el monitoreo integral de la red, la gestión de vulnerabilidades o un programa completo de seguridad cibernética.
Un ciclo continuo de Sudáfrica ha tenido un enfoque lento para el cumplimiento de las regulaciones gubernamentales y las leyes establecidas. Este problema ha sido expuesto a cada paso, ya que Sudáfrica ha seguido mostrando sus vulnerabilidades, y los ciberdelincuentes los ven y abusan de ellos. La institución de gran parte de la nueva legislación ha dado una señal de que Sudáfrica está tomando la ciberseguridad más en serio, pero el cumplimiento ha sido un juego de éxito o fallido. A medida que más empresas se educan sobre las leyes y regulaciones con respecto a la ciberseguridad, están agregando personal adicional y contratando especialistas en ciberseguridad para ayudar a combatir a los actores de amenazas en el mundo cibernético. Se ha desarrollado un nuevo software para automatizar algunos de los métodos anteriores de análisis e instituir respuestas de acción rápida. Los niveles de cambio que se realizan para abordar el cumplimiento de la regulación de la ciberseguridad abarca una variedad de áreas. Tomar medidas adicionales ayuda a proteger los datos propietarios, inculca un sentido de confianza con los clientes y demuestra una voluntad de invertir para garantizar que las leyes sean obedecidas. Popia (Ley de Protección de Información Personal), así como la Ley de delitos cibernéticos, se establecieron para garantizar que las empresas se adhirieran a los requisitos legales para proteger los datos para evitar acciones legales que puedan incluir multas. El marco para estas legislaciones otorga a las empresas la capacidad de evaluar, identificar y mitigar los riesgos asociados con los ataques de ciberseguridad. Estas acciones pueden reducir la vulnerabilidad de los actores de amenazas. Las consecuencias de una violación cibernética para una empresa pueden incluir daños a la reputación, pérdida financiera y la pérdida de confianza de sus clientes. Tomar acciones para cumplir con las regulaciones ayuda a proteger sus datos del acceso no autorizado y demuestra una disposición al compromiso responsable. Sharon Knowles en el panel de IT Web 2025 Discusión sobre «¿La ciberseguridad requiere más regulación o está demasiado regulado?» Como jugador importante en el panorama financiero global, las empresas sudafricanas que cumplen con las regulaciones ayudan a las empresas a cumplir y lograr los requisitos y marcos internacionales como ISO 27001. Estas acciones permiten una mejora como competidor del mercado global. Además, el cumplimiento de la legislación de seguridad cibernética protege la economía y los intereses nacionales de Sudáfrica de los piratas informáticos. El NCPF (Marco de Política Nacional de Ciberseguridad) fue diseñado para agregar a la seguridad del ciberespacio en Sudáfrica y proteger la infraestructura que es crítica contra los ataques cibernéticos. A medida que la red continúa siendo un método principal de comunicación en todo el mundo, podemos expectarse de que los actores de amenaza también continuarán diseñando métodos nuevos y sofisticados para intentar robar y amenazar a las corporaciones y organizaciones. Trabajar con la policía en Sudáfrica también ha sido un proceso lento ya que sus miembros no han sido capacitados para lidiar con las amenazas cibernéticas. Varios profesionales y especialistas cibernéticos están trabajando con la policía para ayudar a crear departamentos diseñados para abordar estos problemas. Estamos comenzando a ver algo de fruta de estas acciones, pero ha sido un proceso lento. Las respuestas de incidentes de los equipos de respuesta han aumentado, pero no lo suficientemente rápido. Los especialistas en seguridad cibernética alientan a las empresas a centrarse en los conceptos básicos que pueden controlar, como la autenticación multifactorial, el análisis de riesgos y la gestión de parches. «Las empresas en Sudáfrica han estado reconociendo su vulnerabilidad a los ataques cibernéticos y han estado dando un paso al frente para proteger sus datos patentados. La ciberseguridad Davinci trabaja en estrecha colaboración con nuestros clientes para educar y ayudar en sus continuos esfuerzos». -Sharon Knowles, CEO Davinci CyberSecurity Fuente: itweb.co.za/article/sas-slughepish-proach-to-cyber-security-regulation-laid-bare/o2rqgqaebkbqd1ea
Una falla recientemente revelada en la extensión del cursor permite que los repositorios ejecutaran automáticamente el código cuando se abre una carpeta, incluso sin el consentimiento de un desarrollador. El problema proviene de la función «Autorun» de la extensión, que inicia comandos vinculados a eventos del espacio de trabajo, como abrir un proyecto. Los investigadores de Oasis Security encontraron que los actores maliciosos podían elaborar repositorios que exploten esta funcionalidad. Al integrar las instrucciones ocultas, los atacantes pueden activar la ejecución del código no autorizado en el momento en que un usuario abre el repositorio en el código de Visual Studio con el cursor instalado. Los riesgos de la cadena de suministro expuesto El descubrimiento destaca cómo las amenazas de la cadena de suministro están evolucionando más allá del secuestro de dependencia. En lugar de esperar a que un desarrollador ejecute scripts o instale paquetes, los adversarios ahora pueden armarse algo tan rutinario como abrir una carpeta. «Los hallazgos del equipo de seguridad de Oasis destacan un riesgo grave pero a menudo ignorado: la ejecución silenciosa del código malicioso a través de entornos de desarrollo», dijo Heath Renfrow, CISO de Fenix24. Randolph Barr, CISO en Cequence Security, agregó: «Creo que este resalta un tema que hemos visto muchas veces antes: cuando los productos alcanzan la adopción de hipercromo (especialmente durante Covid), ‘seguro por defecto’ a menudo se sacrifica por velocidad. El cursor está pasando por los mismos ciclos de iteración rápidos que vimos con otras herramientas en aquel entonces, y desafortunadamente, significa repetir errores que más compañías maduras han pasado de partir de desde» «. Lea más sobre la seguridad de la cadena de suministro de software: Ghostaction Supply Chain Attack compromete más de 3000 secretos. Las posibles consecuencias son significativas. Los repositorios maliciosos podrían usarse para: robar tokens de autenticación o claves API alterar archivos de proyectos locales planta malware persistente dentro del entorno de desarrollo Renfrow señaló que con el espacio de trabajo de confianza desactivado de forma predeterminada en el cursor, «esta vulnerabilidad convierte efectivamente en una simple acción ‘abierta’ en un compromiso potencial de un compromiso de desarrollador». Advirtió que las computadoras portátiles de desarrolladores a menudo contienen claves API de nubes, sesiones SaaS y credenciales de CI/CD que los atacantes pueden explotar. Barr también enfatizó el creciente enfoque en el cursor. «Lo que se destaca aquí es que el cursor ya ha sido un objetivo: Curxecute y McPoison fueron identificados este año (2025), junto con al menos otras dos vulnerabilidades relacionadas con el cursor en el mismo marco de tiempo», dijo. «Agregue paquetes de NPM maliciosos que se dirigieran específicamente a los usuarios de MacOS de Cursor, y está claro que este editor está firmemente a la vista de los malos actores». Los expertos de la industria pesan en Trey Ford, director de estrategia y confianza de Bugcrowd, calificó el defecto «un patrón de vulnerabilidad del viejo mundo que me recuerda a Autorun.inf que necesita ser bloqueado al insertar un CD-ROM, DVD o un impulso removible de hace veinte años». Agregó que el cursor ahora se está comparando con Visual Studio de Microsoft. «Esta es una causa de un alto y un cálculo para endurecer y expandir aún más las capacidades de seguridad empresarial», agregó Ford. El informe subraya un problema más amplio: las herramientas de desarrollador ahora son parte de la superficie de ataque. «Este hallazgo es un recordatorio de que las herramientas de desarrollo son parte de la superficie de ataque y requieren el mismo nivel de endurecimiento que la infraestructura de producción», concluyó Renfrow.
Una vez que se cree que está inactivo, el grupo alineado por China también se ha observado utilizando la puerta trasera de Shadowpad privada por primera vez el 27 de marzo de 2025, el FamoussSparrow Apt Group se ha infiltrado en un grupo comercial en el sector financiero en los Estados Unidos, un instituto de investigación en México y una institución gubernamental en Honduras, según una nueva investigación ESET. Mientras ayudaba a una de las entidades afectadas con la remediación del ataque, los expertos de ESET descubrieron que el equipo cibernético alineado en China ha alcanzado sus objetivos con dos versiones previamente indocumentadas de su trasero insignia llamado Sparrowdoor. Es importante destacar que el grupo también se observó utilizando la puerta trasera de Shadowpad por primera vez. ESET Research también muestra que FamoussParrow debe haber trabajado duro para desarrollar su conjunto de herramientas entre 2022 y 2024, lo que demuestra que el grupo no cesó sus operaciones hace unos años, como se había pensado anteriormente. ¿Qué más hay para saber sobre las tácticas, técnicas y procedimientos recientes del grupo? Aprenda del evangelista de seguridad del jefe de Eset, Tony Anscombe, en el video y asegúrese de leer el BlogPost completo. Conéctese con nosotros en Facebook, X, LinkedIn e Instagram.
¿Alguna vez se preguntó qué pasaría si Burger King dejara las llaves del reino para que alguien lo use? Los piratas informáticos éticos lo hicieron, y descubrieron grabaciones de transmisión, contraseñas codificadas e incluso el poder de abrir una salida en la luna. Mientras tanto, en Silicon Valley, un Wunderkind de IA logró convertir un día de pago de $ 7 millones en una demanda que termina su carrera al presuntamente caminando secretos comerciales directamente por la puerta mientras saltaba del barco para un rival. Todo esto y mucho más se discute en el episodio 434 del galardonado podcast «Smashing Security» con la veterana de seguridad informática Graham Cluley, unida esta semana por la invitada especial Lianne Potter. Escúchalos, mastican sobre la seguridad catastrófica de comida rápida, amenazas internas con papas fritas adicionales y por qué incluso los cerebros más grandes de la IA no pueden evitar hacer algo completamente estúpido. ADVERTENCIA: Este podcast puede contener nueces, temas de adultos y lenguaje grosero. Anfitrión: Graham Cluley: @Grahambluley.com @[email protected]Invitado: Lianne Potter Episode Links: Patrocinado por: Drata – La plataforma de gestión de confianza más avanzada del mundo, lo que hace que la gestión de riesgos y cumplimiento sea accesible, continuo y 10 veces más automatizado que nunca. Trelica por 1Password – Acceda a gobernanza para cada aplicación SaaS. Descubra, administre y optimice el acceso para cualquiera de sus aplicaciones SaaS, ya sea administradas o no administradas. VANTA-Expanda el alcance de su programa de seguridad con la automatización de cumplimiento líder en el mercado … mientras ahorra tiempo y dinero. ¡Smashing Security Oyentes obtienen $ 1000 de descuento! Apoye el programa: puede ayudar al podcast diciéndole a sus amigos y colegas sobre «Smashing Security» y dejándonos una reseña en Apple Podcasts o Podchaser. ¡Conviértete en partidario de Patreon para episodios sin anuncios y nuestro feed de liberación temprana! Síguenos: Siga el programa en Bluesky, o únase a nosotros en el Smashing Security Subreddit, o visite nuestro sitio web para obtener más episodios. Gracias: Tema del tema: «Vinyl Memories» de Mikael Manvelyan. Efectos de sonido atacados: Audioblocks. ¿Encontró este artículo interesante? Siga a Graham Cluley en LinkedIn, Bluesky o Mastodon para leer más del contenido exclusivo que publicamos.
Los investigadores de ciberseguridad han descubierto dos nuevas familias de malware, incluida una puerta trasera modular Apple MacOS llamada ChillyHell y un troyano de acceso remoto (rata) basado en GO llamado Zynorrat que puede apuntar a los sistemas Windows y Linux. Según un análisis de Jamf Amenazing Labs, ChillyHell está escrito en C ++ y se desarrolla para las arquitecturas Intel. Chillyhell es el nombre asignado a un malware atribuido a un clúster de amenaza no categorizado denominado UNC4487. Se evalúa que el grupo de piratería ha estado activo desde al menos octubre de 2022. Según la inteligencia de amenazas compartida por Google Mandiant, UNC4487 es un presunto actor de espionaje que se ha observado que compromete los sitios web de las entidades gubernamentales ucranianas para redirigir e diseñar objetivos socialmente para ejecutar Matanbuchus o Chillyhell Malware. La compañía de gestión de dispositivos de Apple dijo que descubrió una nueva muestra de ChillyHell cargada en la plataforma de escaneo de malware virustotal el 2 de mayo de 2025. Se dice que el artefacto, notariado por Apple en 2021, se alojó públicamente en Dropbox desde entonces. Desde entonces, Apple ha revocado los certificados de desarrolladores vinculados al malware. Una vez ejecutado, el malware perfila ampliamente el host comprometido y establece la persistencia utilizando tres métodos diferentes, después de los cuales inicializa la comunicación de comando y control (C2) con un servidor codificado (93.88.75[.]252 o 148.72.172[.]53) sobre HTTP o DNS, y entra en un bucle de comando para recibir más instrucciones de sus operadores. Para configurar la persistencia, ChillyHell se instala como un lanzamiento de AGENT o un sistema de lanzamiento del sistema. Como mecanismo de respaldo, altera el perfil de shell del usuario (.zshrc, .bash_profile o .profile) para inyectar un comando de lanzamiento en el archivo de configuración. Una táctica notable adoptada por el malware es su uso de tiempo de tiempo para modificar las marcas de tiempo de los artefactos creados para evitar elevar las banderas rojas. «Si no tiene un permiso suficiente para actualizar las marcas de tiempo mediante una llamada del sistema directo, recurrirá al uso de comandos de shell touch -c -a -t y touch -c -m -t respectivamente, cada uno con una cadena formateada que representa una fecha del pasado como argumento incluido al final del comando», los investigadores de Jamf Ferdous Saljooki y Maggie Zirnhelt. ChillyHell admite una amplia gama de comandos que le permiten iniciar un shell inverso a la dirección IP C2, descargar una nueva versión del malware, obtener cargas útiles adicionales, ejecutar un módulo con nombre de módulo de módulo para enumerar las cuentas de los usuarios de «/etc/passwd» y realizar ataques de fuerza bruta utilizando una lista de contraseña predefinida retrate del servidor C2. «Entre sus múltiples mecanismos de persistencia, la capacidad de comunicarse sobre diferentes protocolos y estructura modular, Chillyhell es extraordinariamente flexible», dijo Jamf. «Las capacidades como el tiempo de tiempo y el agrietamiento de la contraseña hacen que esta muestra sea un hallazgo inusual en el panorama de amenazas de macOS actual». «En particular, ChillyHell fue notariado y sirve como un recordatorio importante de que no todo el código malicioso no se firma». Los hallazgos encajan con el descubrimiento de Zynorrat, una rata que utiliza un bot de telegrama llamado @lraterrorsbot (también conocido como LRAT) para Commandoer Infected Windows y Linux Hosts. La evidencia muestra que el malware se presentó por primera vez a Virustotal el 8 de julio de 2025. No comparte ninguna superposición con otras familias de malware conocidas. Compilado con GO, la versión de Linux admite una amplia gama de funciones para habilitar la exfiltración de archivos, la enumeración del sistema, la captura de captura de pantalla, la persistencia a través de los servicios de SystemD y la ejecución de comandos arbitrarios – /fs_list, para enumerar los directores /fs_get, a los archivos de exfiltrado de los archivos de host /métricos, para realizar el comando de system, para realizar el comando «, los» PS «. Un proceso específico al pasar el PID como entrada /captura_display, para tomar capturas de pantalla /persistir, para establecer persistencia La versión de Windows de Zynorrat es casi idéntica a su contraparte de Linux, al tiempo que recurre a los mecanismos de persistencia basados en Linux. Esto probablemente indica que el desarrollo de la variante de Windows es un trabajo en progreso. «Su objetivo principal es servir como una herramienta de colección, exfiltración y acceso remoto, que se gestiona centralmente a través de un bot de telegrama», dijo la investigadora de Sysdig, Alessandra Rizzo. «Telegram sirve como la infraestructura C2 principal a través de la cual el malware recibe más comandos una vez desplegados en una máquina víctima». Un análisis posterior de las capturas de pantalla filtradas a través del bot del telegrama ha revelado que las cargas útiles se distribuyen a través de un servicio de intercambio de archivos conocido como dosya.co, y que el autor de malware puede haber «infectado» sus propias máquinas para probar la funcionalidad. Se cree que Zynorrat es obra de un actor solitario que posiblemente de origen turco, dado el lenguaje utilizado en los chats de telegrama. «Aunque el ecosistema de malware no tiene escasez de ratas, los desarrolladores de malware aún dedican su tiempo a crearlas desde cero», dijo Rizzo. «La personalización de Zynorrat y los controles automatizados subrayan la sofisticación en evolución del malware moderno, incluso dentro de sus primeras etapas».