infosec en breve El gobierno de EE. UU. ofrece recompensas de hasta 15 millones de dólares como recompensa para cualquiera que esté dispuesto a ayudarlo a eliminar la banda de ransomware APLHV/Blackcat. El Departamento de Estado anunció la semana pasada que ofrecería 10 millones de dólares por información que identifique a los líderes clave de la banda de ransomware ALPHV o sus ubicaciones, y 5 millones de dólares por información que conduzca al arresto o condena de cualquier persona que «participe, conspire o intente» utilizar el notorio ransomware de la pandilla (es decir, afiliados de ALPHV). ALPHV se ha acostumbrado a perseguir objetivos de infraestructura críticos y la semana pasada se atribuyó la responsabilidad de un ataque a la empresa operadora de Canadian Trans-Northern Pipelines, supuestamente robando alrededor de 190 GB de datos. El ataque de Trans-Northern es el cuarto operador de infraestructura crítica que ALPHV afirma haber atacado en los últimos meses. Se supone que ALPHV cuenta con el respaldo de Rusia y fue interrumpido temporalmente por el Departamento de Justicia de EE. UU. y el FBI a fines de 2023 en cooperación con un grupo internacional de funcionarios encargados de hacer cumplir la ley. En la operación, el FBI se apoderó del sitio web donde ALPHV publicaba avisos de nuevas víctimas y lanzó una herramienta de descifrado para el ransomware del grupo, pero la operación parece haber tenido poco efecto. Los expertos incluso especularon que la eliminación de ALPHV por parte del gobierno de EE. UU. pondría fin a la existencia de la encarnación actual del grupo, pero el aviso de recompensa del Departamento de Estado implica que los federales todavía lo ven como una amenaza activa, sin mencionar el hecho de que el sitio web de ALPHV volvió a aparecer. días después de que el FBI lo eliminara. Después de que se reanudaron sus operaciones, ALPHV supuestamente levantó sus reglas internas sobre a quién se les permitía apuntar a los afiliados, lo que significa que es temporada abierta en infraestructura crítica en todo el mundo. Considérate advertido. Vulnerabilidades críticas de la semana: fallas de Siemens en todas partes El parche de este mes del martes entregó muchos parches para mantener ocupados a los profesionales de seguridad de la información. Pero aquellos que usan hardware de Siemens tienen aún más que hacer, ya que la compañía reveló la semana pasada varias fallas críticas. Es hora de empezar a parchear este lote. CVSS 9.8 – Múltiples CVE: los dispositivos Siemens Scalance W1750D contienen una serie de vulnerabilidades que podrían permitir a un atacante inyectar comandos, denegar servicio y activar RCE. CVSS 9.8 – Múltiples CVE: varias versiones de software en los conmutadores Siemens Scalance XCM-/XRM-300 contienen numerosas vulnerabilidades que podrían explotarse para afectar la confidencialidad, la integridad y la disponibilidad de los dispositivos. CVSS 9.8 – Múltiples CVE: Todas las versiones del software Siemens SINEC NMS anteriores a la v2.0 SP1 contienen una serie de vulnerabilidades que podrían permitir a un atacante eludir la autenticación y ejecutar código arbitrario. CVSS 9.3 – CVE-2024-23816: Varias versiones del software Siemens Location Intelligence contienen credenciales codificadas. CVSS 9.1 – Múltiples CVE: todas las versiones de Siemens SIDIS Prime anteriores a la 4.0.400 pueden explotarse para dar a un atacante acceso a toda la red donde está instalado SIDIS Prime. CVSS 9.1: múltiples CVE: las familias Siemens Scalance de la familia SC-600 contienen una cadena de vulnerabilidades que podrían explotarse para permitir que un atacante genere un shell raíz del sistema en sistemas vulnerables. CVSS 8.7 – CVE-2023-51440: Varios modelos de controladores Siemens SIMATIC y SIPLUS NET verifican incorrectamente el origen de un canal de comunicación, lo que permite a un atacante falsificar paquetes de reinicio TCP y provocar DoS. CVSS 8.5 – CVE-2024-22042: Todas las versiones del software Siemens Unicam FX utilizan incorrectamente API privilegiadas que podrían permitir a un atacante obtener privilegios a nivel del sistema. CVSS 8.5: múltiples CVE: todas las versiones del software Siemens Polarion ALM contienen permisos predeterminados incorrectos y autentican a los usuarios de manera incorrecta, lo que permite a un atacante obtener acceso y elevar sus privilegios. EncroChat sigue dando dividendos a las autoridades del Reino Unido Han pasado casi cuatro años desde que la policía francesa y holandesa se infiltró y eliminó el servicio cifrado EncroChat utilizado ampliamente por delincuentes en Europa y el Reino Unido, y todavía está generando condenas. Un ejemplo: la sentencia del exfutbolista escandinavo y residente de Liverpool Wayne McKenzie a 30 años de prisión esta semana por su papel en una red criminal que importaba drogas y armas al Reino Unido. La carrera de respaldo de McKenzie se descubrió cuando los datos incautados de EncroChat se proporcionaron a la Agencia Nacional contra el Crimen después de que el servicio se cerrara en 2020. La interrupción de EncroChat, que vendía teléfonos y servicios cifrados por 1.500 dólares al mes, resultó en casi 750 arrestos en el Reino Unido de inmediato. tras la actuación policial. A mediados de 2023, unas 6.558 personas habían sido arrestadas en todo el mundo y se habían incautado casi 740 millones de euros en fondos criminales. Que esta última frase sea una advertencia para aquellos que esperaban que la actividad ilícita en EncroChat pasara desapercibida. Probablemente no fue así, sólo hay que darle tiempo a la policía. Ransomware desconecta la oficina del defensor público de Colorado Como si los defensores públicos no estuvieran ya suficientemente sobrecargados de trabajo, ahora un ataque de ransomware ha desconectado toda la red de la oficina del defensor público del estado de Colorado. El ataque comenzó el viernes pasado, lo que llevó a la PDO a desconectar sus sistemas de forma proactiva para contener el daño, reveló la oficina el domingo. «Como medida preventiva, desactivamos temporalmente nuestra red informática y estamos trabajando para volver a poner en línea los sistemas de forma segura», anunció la oficina de PDO en un comunicado. El lunes, los sistemas todavía estaban fuera de línea, lo que dejaba a los abogados de PDO sin acceso a los sistemas judiciales en línea o al correo electrónico, y sin poder hacer mucho trabajo para los clientes. La PDO admitió que el ataque involucró ransomware, pero no dijo quién podría estar detrás del ataque, si pudieron exfiltrar algún dato o qué demandas se pudieron haber hecho para la restauración. «Estamos en las primeras etapas de respuesta y revisión de este asunto… y no podemos especular sobre cómo este asunto afecta la información almacenada en la red informática», reveló la PDO en una pregunta frecuente publicada sobre el incidente. La PDO no respondió a las preguntas sobre la violación ni ofreció una actualización sobre el estado de sus sistemas o un posible cronograma para la restauración del servicio. Gobierno estatal anónimo violado por delincuentes anónimos Los delincuentes violaron la red de un gobierno estatal anónimo de EE. UU. después de obtener credenciales de administrador comprometidas pertenecientes a un ex empleado, y luego utilizaron este acceso para robar información del host y del usuario, que los delincuentes luego publicaron en un sitio de corretaje de la web oscura. . Esto, según la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) y el Centro de Análisis e Intercambio de Información Multiestatal (MS-ISAC), que fueron contratados para ayudar con la respuesta a incidentes. Las agencias determinaron que los delincuentes utilizaron credenciales de administrador que probablemente fueron robadas en una violación de datos anterior para autenticarse en un punto de acceso VPN interno y husmear. Las credenciales de este ex empleado les dieron a los malhechores acceso a un servidor SharePoint virtualizado donde obtuvieron otro conjunto de credenciales con privilegios administrativos tanto para la red local como para Azure Active Directory. El segundo conjunto de credenciales robadas es significativo, porque les dio a los intrusos acceso tanto al AD local como a Azure AD, pero se nos dice que los fisgones no tuvieron suerte moviéndose lateralmente desde el entorno local al de la víctima. entorno de nube, donde vivían los datos y sistemas sensibles. Además, los delincuentes realizaron consultas del protocolo ligero de acceso a directorios (LDAP) del AD, probablemente a través de la herramienta de código abierto AdFind.[dot]exe, nos dicen. «CISA y MS-ISAC evalúan que el actor de amenazas ejecutó las consultas LDAP para recopilar información de usuario, host y relación de confianza. También se cree que las consultas LDAP generaron los archivos de texto que el actor de amenazas publicó para la venta en el sitio de corretaje de la web oscura». según la alerta. Pero quizás la principal conclusión de esta irrupción es que ninguna de las cuentas administrativas tenía habilitada la autenticación multifactor (MFA). Así que, incluso antes de leer el resto de los detalles técnicos del aviso, active MFA. ®

Source link