07 de octubre de 2024Ravie LakshmananCiberseguridad / Resumen semanal ¿Alguna vez has oído hablar de una estafa de «carnicería de cerdos»? ¿O un ataque DDoS tan grande que podría derretir tu cerebro? El resumen de ciberseguridad de esta semana lo tiene todo: enfrentamientos gubernamentales, malware furtivo e incluso una pizca de travesuras en las tiendas de aplicaciones. ¡Consigue la primicia antes de que sea demasiado tarde! ⚡ Doble problema de la amenaza de la semana: Evil Corp y LockBit Fall: un consorcio de agencias internacionales de aplicación de la ley tomó medidas para arrestar a cuatro personas y derribar nueve servidores vinculados a la operación de ransomware LockBit (también conocido como Bitwise Spider). Al mismo tiempo, las autoridades descubrieron a un ciudadano ruso llamado Aleksandr Ryzhenkov, que era uno de los miembros de alto rango del grupo de cibercrimen Evil Corp y también afiliado a LockBit. Un total de 16 personas que formaban parte de Evil Corp han sido sancionadas por el Reino Unido 🔔 Principales noticias DoJ y Microsoft confiscan más de 100 dominios de piratas informáticos rusos: El Departamento de Justicia de EE. UU. (DoJ) y Microsoft anunciaron la incautación de 107 dominios de Internet utilizados por un El actor de amenazas patrocinado por el estado ruso llamó COLDRIVER para orquestar campañas de recolección de credenciales dirigidas a ONG y grupos de expertos que apoyan a empleados gubernamentales y funcionarios militares y de inteligencia. Ataque DDoS récord de 3,8 Tbps: Cloudflare reveló que frustró un ataque récord de denegación de servicio distribuido (DDoS) que alcanzó un máximo de 3,8 terabits por segundo (Tbps) y duró 65 segundos. El ataque es parte de una ola más amplia de más de cien ataques DDoS hipervolumétricos L3/4 que han estado en curso desde principios de septiembre de 2024 y tienen como objetivo las industrias de servicios financieros, Internet y telecomunicaciones. La actividad no se ha atribuido a ningún actor de amenaza específico. Hackers norcoreanos implementan el nuevo troyano VeilShell: Se ha atribuido a un actor de amenazas vinculado a Corea del Norte llamado APT37 estar detrás de una campaña sigilosa dirigida a Camboya y probablemente a otros países del Sudeste Asiático que ofrece una puerta trasera y un troyano de acceso remoto (RAT) previamente indocumentados llamado VeilShell. Se sospecha que el malware se distribuye a través de correos electrónicos de phishing. Aplicaciones comerciales falsas en las tiendas Apple y Google: una campaña de fraude a gran escala aprovechó aplicaciones comerciales falsas publicadas en Apple App Store y Google Play Store, así como sitios de phishing, para defraudar a las víctimas como parte de lo que se llama una estafa de matanza de cerdos. Las aplicaciones ya no están disponibles para descargar. Se ha descubierto que la campaña está dirigida a usuarios de Asia-Pacífico, Europa, Medio Oriente y África. En un acontecimiento relacionado, Gizmodo informó que los usuarios de Truth Social han perdido cientos de miles de dólares en estafas de matanza de cerdos. Más de 700.000 enrutadores DrayTek vulnerables a ataques remotos: se han descubierto hasta 14 fallas de seguridad, denominadas DRAY:BREAK, en enrutadores residenciales y empresariales fabricados por DrayTek que podrían explotarse para controlar dispositivos susceptibles. Las vulnerabilidades se han solucionado tras una divulgación responsable. 📰 En todo el mundo cibernético Salt Typhoon violó las redes de AT&T, Verizon y Lumen: un actor-estado-nación chino conocido como Salt Typhoon penetró en las redes de proveedores de banda ancha de EE. UU., incluidos AT&T, Verizon y Lumen, y probablemente accedió a «información de los sistemas el gobierno federal utiliza para solicitudes de escuchas telefónicas de redes autorizadas por el tribunal», informó The Wall Street Journal. «Los piratas informáticos parecen haberse involucrado en una vasta colección de tráfico de Internet de proveedores de servicios de Internet que cuentan entre sus clientes a empresas grandes y pequeñas, y a millones de estadounidenses». El Reino Unido y los EE. UU. advierten sobre la actividad iraní de Spear-Phishing: Los actores cibernéticos que trabajan en nombre del Cuerpo de la Guardia Revolucionaria Islámica (CGRI) del gobierno iraní han atacado a personas con vínculos con asuntos iraníes y de Medio Oriente para obtener acceso no autorizado a sus cuentas personales y comerciales utilizando Técnicas de ingeniería social, ya sea a través de correo electrónico o plataformas de mensajería. «Los actores a menudo intentan establecer una buena relación antes de solicitar a las víctimas que accedan a un documento a través de un hipervínculo, que redirige a las víctimas a una página de inicio de sesión de cuenta de correo electrónico falsa con el fin de capturar credenciales», dijeron las agencias en un aviso. «Se puede pedir a las víctimas que introduzcan códigos de autenticación de dos factores, que los proporcionen a través de una aplicación de mensajería o que interactúen con notificaciones telefónicas para permitir el acceso a los ciberactores». Crisis de cartera de pedidos de NVD del NIST: más de 18 000 CVE sin analizar: Un nuevo análisis ha revelado que el Instituto Nacional de Estándares y Tecnología (NIST), el organismo de estándares del gobierno de EE. UU., todavía tiene un largo camino por recorrer en términos de analizar los CVE recientemente publicados. Al 21 de septiembre de 2024, el 72,4% de los CVE (18.358 CVE) en el NVD aún no han sido analizados, dijo VulnCheck, y agregó que «el 46,7% de las vulnerabilidades explotadas conocidas (KEV) siguen sin analizarse por el NVD (en comparación con el 50,8% a partir del 21 de septiembre de 2024). 19 de mayo de 2024).» Vale la pena señalar que se han agregado un total de 25,357 nuevas vulnerabilidades a NVD desde el 12 de febrero de 2024, cuando NIST redujo su procesamiento y enriquecimiento de nuevas vulnerabilidades. Principales fallas de RPKI descubiertas en la defensa criptográfica de BGP: un grupo de investigadores alemanes descubrió que las implementaciones actuales de Resource Public Key Infrastructure (RPKI), que se introdujo como una forma de introducir una capa criptográfica al Border Gateway Protocol (BGP), «carecen de producción». -Resistencia de grado y están plagados de vulnerabilidades de software, especificaciones inconsistentes y desafíos operativos». Estas vulnerabilidades van desde denegación de servicio y omisión de autenticación hasta envenenamiento de caché y ejecución remota de código. El cambio en la política de datos de Telegram empuja a los ciberdelincuentes a buscar aplicaciones alternativas: la reciente decisión de Telegram de proporcionar las direcciones IP y los números de teléfono de los usuarios a las autoridades en respuesta a solicitudes legales válidas está impulsando a los grupos de ciberdelincuencia a buscar otras alternativas a la aplicación de mensajería, incluidas Jabber, Tox, Matrix, Señal y sesión. La banda de ransomware Bl00dy ha declarado que «abandona Telegram», mientras que grupos hacktivistas como Al Ahad, Marruecos Cyber ​​Aliens y RipperSec han expresado su intención de pasar a Signal y Discord. Dicho esto, ni Signal ni Session admiten la funcionalidad de bot o API como Telegram ni tienen amplias capacidades de mensajería grupal. Jabber y Tox, por el contrario, ya han sido utilizados por adversarios que operan en foros clandestinos. «La amplia base global de usuarios de Telegram aún proporciona un amplio alcance, lo cual es crucial para actividades cibercriminales como la difusión de información, el reclutamiento de asociados o la venta de bienes y servicios ilícitos», dijo Intel 471. Sin embargo, el director ejecutivo de Telegram, Pavel Durov, restó importancia a los cambios, afirmando que «poco ha cambiado» y que ha estado compartiendo datos con las autoridades desde 2018 en respuesta a solicitudes legales válidas. «Por ejemplo, en Brasil, divulgamos datos de 75 solicitudes legales en el primer trimestre (enero-marzo) de 2024, 63 en el segundo trimestre y 65 en el tercer trimestre. En India, nuestro mercado más grande, atendimos 2461 solicitudes legales en el primer trimestre, 2151 en el segundo trimestre. y 2.380 en el tercer trimestre», añadió Durov. 🔥 Recursos e información sobre ciberseguridad Seminarios web EN VIVO Pregúntele al experto P: ¿Cómo pueden las organizaciones reducir los costos de cumplimiento y al mismo tiempo fortalecer sus medidas de seguridad? R: Puede reducir los costos de cumplimiento y al mismo tiempo fortalecer la seguridad integrando de manera inteligente tecnología y marcos modernos. Empiece por adoptar modelos de seguridad unificados como NIST CSF o ISO 27001 para cubrir múltiples necesidades de cumplimiento, facilitando las auditorías. Concéntrese en áreas de alto riesgo utilizando métodos como FAIR para que sus esfuerzos aborden las amenazas más críticas. Automatice las comprobaciones de cumplimiento con herramientas como Splunk o IBM QRadar y utilice IA para una detección de amenazas más rápida. Consolide sus herramientas de seguridad en plataformas como Microsoft 365 Defender para ahorrar en licencias y simplificar la administración. El uso de servicios en la nube con cumplimiento integrado de proveedores como AWS o Azure también puede reducir los costos de infraestructura. Aumente la conciencia de seguridad de su equipo con plataformas de capacitación interactivas para construir una cultura que evite errores. Automatice los informes de cumplimiento utilizando ServiceNow GRC para facilitar la documentación. Implemente estrategias de Zero Trust como microsegmentación y verificación continua de identidad para fortalecer las defensas. Vigile sus sistemas con herramientas como Tenable.io para encontrar y corregir vulnerabilidades de manera temprana. Si sigue estos pasos, podrá ahorrar en gastos de cumplimiento y, al mismo tiempo, mantener sólida su seguridad. Herramientas de ciberseguridad capa Explorer Web es una herramienta basada en navegador que le permite explorar de forma interactiva las capacidades del programa identificadas por capa. Proporciona una manera fácil de analizar y visualizar los resultados de capa en su navegador web. capa es una herramienta gratuita de código abierto del equipo FLARE que extrae capacidades de archivos ejecutables, lo que le ayuda a clasificar archivos desconocidos, guiar la ingeniería inversa y buscar malware. Ransomware Tool Matrix es una lista actualizada de herramientas utilizadas por ransomware y bandas de extorsión. Dado que estos ciberdelincuentes suelen reutilizar herramientas, podemos utilizar esta información para buscar amenazas, mejorar las respuestas a incidentes, detectar patrones en su comportamiento y simular sus tácticas en simulacros de seguridad. 🔒 Consejo de la semana Mantenga una «lista de ingredientes» para su software: su software es como una receta hecha con varios ingredientes: componentes de terceros y bibliotecas de código abierto. Al crear una lista de materiales de software (SBOM), una lista detallada de estos componentes, puede encontrar y solucionar rápidamente problemas de seguridad cuando surjan. Actualice periódicamente esta lista, intégrela en su proceso de desarrollo, esté atento a nuevas vulnerabilidades y eduque a su equipo sobre estas partes. Esto reduce los riesgos ocultos, acelera la resolución de problemas, cumple con las regulaciones y genera confianza a través de la transparencia. Conclusión Vaya, esta semana realmente nos mostró que las amenazas cibernéticas pueden aparecer donde menos las esperamos, incluso en aplicaciones y redes en las que confiamos. ¿La gran lección? Mantente alerta y cuestiona siempre lo que tienes delante. Siga aprendiendo, mantenga la curiosidad y superemos juntos a los malos. ¡Hasta la próxima, mantente a salvo! ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.