23 de septiembre de 2024Ravie LakshmananCiberseguridad / Amenaza cibernética ¡Agárrense fuerte, amigos, porque el panorama de la ciberseguridad de la semana pasada fue una montaña rusa! Fuimos testigos de todo, desde piratas informáticos norcoreanos que ofrecían «trabajos de ensueño» para exponer un nuevo malware, hasta un giro sorprendente en la saga Apple vs. NSO Group. Incluso el mundo aparentemente mundano de los nombres de dominio y las configuraciones de la nube tuvo su cuota de drama. Profundicemos en los detalles y veamos qué lecciones podemos extraer de la semana pasada. ⚡ Amenaza de la semana Desmantelada la botnet Raptor Train: el gobierno de EE. UU. anunció el desmantelamiento de la botnet Raptor Train controlada por un actor de amenazas vinculado a China conocido como Flax Typhoon. La botnet constaba de más de 260.000 dispositivos en junio de 2024, con víctimas repartidas por América del Norte, Europa, Asia, África, Oceanía y América del Sur. También atribuyó el actor de la amenaza Flax Typhoon a una empresa que cotiza en bolsa, con sede en Beijing, conocida como Integrity Technology Group. 🔔 Noticias principales El nuevo malware de Lazarus Group: se ha observado que el grupo de ciberespionaje vinculado a Corea del Norte conocido como UNC2970 (también conocido como TEMP.Hermit) utiliza señuelos de phishing con temática laboral para apuntar a posibles víctimas en los sectores verticales de energía y aeroespacial e infectarlos con una puerta trasera previamente no documentada denominada MISTPEN. La actividad también se rastrea como Operation Dream Job. iServer y Ghost desmantelados: en otra gran victoria para las agencias de aplicación de la ley, Europol anunció el desmantelamiento de una red criminal internacional que aprovechaba una plataforma de phishing para desbloquear teléfonos móviles robados o perdidos. La agencia, en asociación con la Policía Federal Australiana (AFP), desmanteló una red de comunicaciones cifradas llamada Ghost que permitía el crimen grave y organizado en todo el mundo. APT iraní actúa como proveedor de acceso inicial: un actor de amenazas iraní rastreado como UNC1860 está actuando como un facilitador de acceso inicial que proporciona acceso remoto a redes objetivo mediante la implementación de varias puertas traseras pasivas. Este acceso luego es aprovechado por otros grupos de piratas informáticos iraníes afiliados al Ministerio de Inteligencia y Seguridad (MOIS). Apple retira la demanda contra NSO Group: Apple presentó una moción para desestimar «voluntariamente» la demanda que está presentando contra el proveedor israelí de software espía comercial NSO Group, citando un panorama de riesgos cambiante que podría llevar a la exposición de información crítica de «inteligencia de amenazas». La demanda se presentó en noviembre de 2021. Los ataques de phishing explotan los encabezados HTTP: una nueva ola de ataques de phishing está abusando de las entradas de actualización en los encabezados HTTP para entregar páginas de inicio de sesión de correo electrónico falsificadas que están diseñadas para recopilar las credenciales de los usuarios. Los objetivos de las campañas incluyen entidades en Corea del Sur y los EE. UU. 📰 Alrededor del mundo cibernético Sandvine abandona 56 países «no democráticos»: Sandvine, la compañía detrás de los middleboxes que han facilitado la entrega de software espía comercial como parte de ataques altamente selectivos, dijo que ha salido de 32 países y está en proceso de cesar sus operaciones en otros 24 países, citando amenazas elevadas a los derechos digitales. A principios de febrero, la compañía fue agregada a la Lista de entidades de EE. UU. «El uso indebido de la tecnología de inspección profunda de paquetes es un problema internacional que amenaza las elecciones libres y justas, los derechos humanos básicos y otras libertades digitales que creemos que son inalienables», dijo. No reveló la lista de países de los que está saliendo como parte de la revisión. Dominio .mobi adquirido por $ 20: Los investigadores de watchTowr Labs gastaron solo $ 20 para adquirir un dominio de servidor WHOIS heredado asociado con el dominio de nivel superior (TLD) .mobi y configurar un servidor WHOIS en ese dominio. Esto llevó al descubrimiento de que más de 135.000 sistemas únicos todavía consultaban el antiguo servidor WHOIS durante un período de cinco días que finalizó el 4 de septiembre de 2024, incluidas herramientas de ciberseguridad y servidores de correo para entidades gubernamentales, militares y universitarias. La investigación también mostró que el proceso TLS/SSL para todo el TLD .mobi se había visto socavado, ya que se descubrió que numerosas autoridades de certificación (CA) seguían utilizando el servidor WHOIS «falso» para «determinar los propietarios de un dominio y dónde se deben enviar los detalles de verificación». Desde entonces, Google ha pedido que se detenga el uso de datos WHOIS para verificaciones de dominios TLS. Las configuraciones incorrectas de ServiceNow filtran datos confidenciales: miles de empresas están exponiendo inadvertidamente secretos de los artículos de su base de conocimiento (KB) interna a través de configuraciones incorrectas de ServiceNow. AppOmni atribuyó el problema a «configuraciones obsoletas y controles de acceso mal configurados en las KB», lo que probablemente indica «un malentendido sistemático de los controles de acceso a la KB o posiblemente la replicación accidental de al menos los controles deficientes de una instancia a otra a través de la clonación». ServiceNow ha publicado una guía sobre cómo configurar sus instancias para evitar el acceso no autenticado a los artículos de la base de conocimientos. Fallo de Google Cloud Document AI corregido: hablando de configuraciones erróneas, los investigadores han descubierto que los actores de amenazas podrían aprovechar las configuraciones demasiado permisivas en el servicio Document AI de Google Cloud para piratear los depósitos de Cloud Storage y robar información confidencial. Vectra AI describió la vulnerabilidad como un caso de abuso de acceso transitivo. Microsoft planea poner fin al acceso al kernel para el software EDR: tras las consecuencias masivas del percance de la actualización de CrowdStrike en julio de 2024, Microsoft ha destacado la «postura de seguridad mejorada y los valores predeterminados de seguridad» de Windows 11 que permiten más capacidades de seguridad a los fabricantes de software de seguridad fuera del acceso en modo kernel. También dijo que colaborará con los socios del ecosistema para lograr «una mayor confiabilidad sin sacrificar la seguridad». 🔥 Recursos y perspectivas de ciberseguridad: próximos seminarios web Confianza cero: Armadura antiransomware: Únase a nuestro próximo seminario web con Emily Laufer de Zscaler para profundizar en el Informe sobre ransomware de 2024, descubrir las últimas tendencias, amenazas emergentes y las estrategias de confianza cero que pueden proteger su organización. No se convierta en otra estadística: ¡regístrese ahora y defiéndase! Reinicio de SIEM: de sobrecarga a supervisión: ¿ahogándose en datos? Su SIEM debería ser un salvavidas, no otro dolor de cabeza. Únase a nosotros para descubrir cómo salió mal el SIEM heredado y cómo un enfoque moderno puede simplificar la seguridad sin sacrificar el rendimiento. Nos sumergiremos en los orígenes de SIEM, sus desafíos actuales y nuestras soluciones impulsadas por la comunidad para eliminar el ruido y potenciar su seguridad. ¡Regístrese ahora para obtener una nueva visión de SIEM! — Pregúntele al experto P: ¿En qué se diferencia fundamentalmente Zero Trust de la defensa perimetral tradicional y cuáles son los desafíos y ventajas clave al realizar la transición de una organización de un modelo de defensa perimetral a una arquitectura de confianza cero? R: Zero Trust y la defensa perimetral son dos formas de proteger los sistemas informáticos. Zero Trust es como tener varias cerraduras en las puertas Y comprobar las identificaciones en cada habitación, lo que significa que no confía en nadie y verifica constantemente a todos y todo lo que intenta acceder a algo. Es excelente para detener a los piratas informáticos, incluso si logran colarse, y funciona bien cuando las personas trabajan desde diferentes lugares o utilizan servicios en la nube. La defensa perimetral es como tener una muralla fuerte alrededor de su castillo, que se centra en mantener a los malos fuera. Pero, si alguien la atraviesa, tiene fácil acceso a todo lo que hay dentro. Este enfoque más antiguo tiene dificultades con las amenazas actuales y las situaciones de trabajo remoto. Cambiar a Zero Trust es como actualizar su sistema de seguridad, pero lleva tiempo y dinero. Vale la pena porque proporciona una protección mucho mejor. Recuerde, no es solo una cosa, sino una forma completamente nueva de pensar en la seguridad, y puede comenzar de a poco y avanzar con el tiempo. Además, no descarte la muralla por completo, sigue siendo útil para la protección básica. — Cybersecurity Jargon Buster Polymorphic Malware: Imagine un virus escurridizo que cambia constantemente su disfraz (firma) para engañar a su antivirus. Es como un camaleón, lo que lo hace difícil de atrapar. Metamorphic Malware: ¡Este es aún más complicado! Es como un cambiaformas, no solo cambia de ropa, sino que transforma completamente su cuerpo. Reescribe su propio código cada vez que infecta, lo que hace que sea casi imposible para el antivirus reconocerlo. — Consejo de la semana «Piense antes de hacer clic» Laberinto: navegue por una serie de puntos de decisión basados ​​en escenarios del mundo real, eligiendo la opción más segura para evitar trampas de phishing y otras amenazas en línea. Conclusión «Errar es humano; perdonar, divino». – Alexander Pope. Pero en el ámbito de la ciberseguridad, el perdón puede ser costoso. Aprendamos de estos errores, fortalezcamos nuestras defensas y mantengamos el mundo digital como un lugar más seguro para todos. ¿Le resultó interesante este artículo? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.