Ciberdelito, Gestión de fraude y ciberdelito, Respuesta a incidentes y violaciones También: Una vulnerabilidad crítica de WHOIS expone una falla de seguridad de Internet en dominios .mobiAnviksha More (AnvikshaMore) • 12 de septiembre de 2024 Imagen: Shutterstock Cada semana, Information Security Media Group recopila incidentes y violaciones de ciberseguridad en todo el mundo. Esta semana, las ciberamenazas están aumentando en México; el FBI advirtió sobre estafas BEC; la policía del Reino Unido arrestó a un sospechoso de piratería; Avis, Slim CD, Medicare y Fortinet revelaron infracciones; las escuelas públicas de Highline reabrieron después de un ciberataque; se encontró una falla crítica en WHOIS; y Konni intensificó sus ataques a Rusia y Corea del Sur. Ver también: Cloud NGFW: la mejor seguridad de su clase y simplicidad incomparable en AWS México enfrenta crecientes ciberamenazas de actores globales Google informó el miércoles un aumento en el ciberespionaje, el ransomware y el fraude financiero en México, la duodécima economía más grande del mundo. Una economía global cambiante y las tensiones geopolíticas de Estados Unidos con China han convertido a México en el principal socio comercial de Estados Unidos y también en un objetivo de las operaciones de construcción de influencia de Beijing. El volumen comercial anual entre Estados Unidos y México asciende a casi 1,6 billones de dólares. Un análisis de Google Threat Analysis Group y Mandiant descubrió que México está atrayendo a piratas informáticos de ciberespionaje de todo el mundo, pero principalmente de China, Rusia y Corea del Norte. Los grupos de espionaje chinos han sido particularmente activos, apuntando a agencias gubernamentales mexicanas, universidades y organizaciones de noticias. Los actores norcoreanos se centran en las empresas de criptomonedas, mientras que la actividad rusa ha disminuido en los últimos años, ya que Moscú se centra en Ucrania y los países de la OTAN. El software espía comercial es una amenaza perenne en México, donde periodistas, activistas y políticos han sido objetivos de campañas de piratería de teléfonos inteligentes. El cibercrimen también es una preocupación importante, y el ransomware y la extorsión afectan a México en múltiples industrias. TAG observó ataques a credenciales bancarias, criptominería y venta de acceso comprometido, y tres de los grupos de cibercrimen observados con mayor frecuencia en México sirven como intermediarios de acceso inicial para grupos de extorsión. Estos grupos utilizan phishing, malvertising y unidades USB infectadas para lanzar sus ataques. Las empresas mexicanas aparecen con mayor frecuencia en los sitios de filtración de ransomware de LockBit, BlackCat/Alphv y 8Base. Las campañas de distribución de malware utilizan con frecuencia señuelos con temas fiscales y financieros para convencer a los destinatarios de que abran enlaces o archivos maliciosos. Mandiant ha observado a un actor de amenazas con motivaciones económicas que rastrea como UNC4948 distribuyendo malware SimpleLoader y extensiones de navegador maliciosas utilizando correos electrónicos que parecen originarse en el Servicio de Administración Tributaria de México. Otro grupo de piratas informáticos con motivaciones económicas rastreado como UNC5176 suplantó a la empresa eléctrica estatal de México, la Comisión Federal de Electricidad. El FBI advierte sobre el aumento de las estafas BEC El FBI aconsejó a las corporaciones que estuvieran atentas a las estafas de compromiso de correo electrónico comercial, que generaron casi $ 55.5 mil millones en pérdidas a nivel mundial durante la última década. Según el Centro de Quejas de Delitos en Internet del FBI, entre octubre de 2013 y diciembre de 2023 se produjeron más de 305.000 incidentes de BEC, con 158.436 víctimas en Estados Unidos y 6.545 a nivel internacional. Las estafas suelen implicar cuentas de correo electrónico pirateadas, que permiten a los actores de amenazas elaborar solicitudes convincentes de transferencias de dinero. El FBI dijo que observó un aumento del 9% en las pérdidas globales entre diciembre de 2022 y diciembre de 2023. El creciente uso de cuentas de custodia, procesadores de pagos de terceros e intercambios de criptomonedas contribuyó al aumento de las pérdidas. La policía del Reino Unido arresta a un sospechoso de hackear el Transporte de Londres La Agencia Nacional contra el Crimen del Reino Unido arrestó a un adolescente por presunto hackeo del Transporte de Londres a principios de este mes. La agencia policial británica dijo que detuvo a un sospechoso anónimo de 17 años el 5 de septiembre por violar la Ley de Uso Indebido de Computadoras en relación con el hackeo de la autoridad de tránsito. El ataque, que tuvo lugar el 2 de septiembre, provocó que los pasajeros del metro experimentaran problemas con los pagos sin contacto y deterioró la capacidad de la autoridad para ofrecer Dial-a-Ride, un servicio de transporte público para usuarios de sillas de ruedas y otras personas con discapacidades (ver: Resumen de violaciones: Transport for London todavía siente el ciberataque). Se estima que se realizan 4 millones de viajes por día utilizando el sistema de metro de Londres, que es propiedad absoluta de Transport for London. El adolescente pagó la fianza después de ser interrogado por las agencias policiales británicas. Aunque TfL afirmó inicialmente que el ataque no resultó en ninguna violación de datos, en una actualización del jueves, la agencia dijo que el atacante accedió a los datos de la tarjeta de viaje de 5.000 viajeros, incluidos sus números de cuenta bancaria y códigos de clasificación. La información de llegada del metro en vivo y los servicios de tarjeta de viaje continúan afectados, dice la actualización. La violación de datos de Avis expone a 299.000 clientes El gigante de alquiler de automóviles Avis notificó a casi 300.000 clientes sobre una violación de datos causada por el acceso no autorizado a una de sus aplicaciones comerciales. La empresa descubrió la vulneración, que afectó a 299.006 personas, el 5 de agosto. La empresa describió la vulneración como «una infracción interna», pero el aviso no especifica si un empleado fue el responsable. Los datos robados incluyen nombres de clientes y datos personales no especificados. La empresa con sede en Parsippany, Nueva Jersey, parte de Avis Budget Group, está revisando sus sistemas de seguridad para evitar futuras vulneraciones. La vulneración de datos de Slim CD expone información de tarjetas de crédito El proveedor de software de pago Slim CD informó de una vulneración de datos que afectó a 1,7 millones de personas y expuso información confidencial de tarjetas de crédito, incluidos nombres, direcciones, números de tarjeta y fechas de vencimiento. La vulneración se produjo a mediados de junio y la empresa dijo que no hay evidencia de robo de identidad o fraude relacionado con el incidente. La empresa con sede en Florida dijo el viernes que el acceso no autorizado a sus sistemas comenzó en agosto de 2023, pero la vulneración real se produjo a mediados de junio de este año y duró aproximadamente un día. La empresa no proporcionó detalles sobre los atacantes ni la naturaleza de la vulneración. Las escuelas públicas de Highline reabren después de un cierre de 3 días Las escuelas públicas de Highline en el estado de Washington reabrieron el jueves después de que un ciberataque obligara al distrito a cerrar sus escuelas K-12 durante tres días. El distrito anunció que, si bien ha restaurado partes de su red digital de forma segura, el acceso a Internet no estará disponible. El ciberataque, revelado el domingo, dejó a Highline sin poder administrar operaciones clave como las rutas de los autobuses escolares, el seguimiento de la asistencia y las comunicaciones de emergencia. Las 34 escuelas de su distrito de 17.500 estudiantes se vieron afectadas. Vulnerabilidad crítica de WHOIS expone falla en dominios .mobi Un experimento de ciberseguridad reveló una vulnerabilidad crítica en el obsoleto sistema WHOIS, que afecta específicamente al dominio de nivel superior .mobi. Los investigadores descubrieron que al comprar el dominio vencido dotmobiregistry.net, anteriormente utilizado como servidor WHOIS para .mobi, podían manipular las consultas de entidades gubernamentales, herramientas de ciberseguridad y autoridades de certificación. Esta falla podría permitir a los atacantes emitir certificados TLS/SSL fraudulentos para dominios importantes como google.mobi y microsoft.mobi. Después de adquirir el dominio no renovado en diciembre de 2023, los investigadores configuraron un servidor WHOIS falso y recibieron más de 135.000 consultas únicas en unos pocos días. Los sistemas pertenecientes a entidades militares y gubernamentales continuaron haciendo referencia al servidor caducado. El hallazgo más alarmante fue la vulnerabilidad de las CA, como GlobalSign, que aceptaban datos WHOIS manipulados para verificar la propiedad del dominio. Los investigadores demostraron esto engañando a la CA para que emitiera un certificado para micrsoft.mobi a un correo electrónico fraudulento. La filtración de datos de Medicare vinculada a la falla de MOVEit afecta a 947.000 personas Los Centros de Servicios de Medicare y Medicaid de EE. UU. y Wisconsin Physicians Service Insurance Corp. notificaron a casi 947.000 personas que su información médica protegida fue filtrada en relación con el ataque MOVEit de 2023 (ver: El recuento conocido de víctimas del ataque MOVEit llega a 2.618 organizaciones). Las organizaciones dijeron el viernes que WPS notificó a CMS el 8 de julio y que los datos afectados incluyen información de salud personal, como datos de reclamaciones de Medicare. WPS es un contratista de CMS que maneja reclamaciones de Medicare y servicios relacionados. WPS realizó una revisión de su sistema de transferencia de archivos MOVEit en mayo con la ayuda de una empresa de ciberseguridad externa. El 8 de julio, WPS determinó que algunos de los archivos afectados contenían información personal de las personas, incluida información de identificación como números de Seguro Social y fechas de nacimiento, así como identificadores de beneficiarios de Medicare. CMS y WPS dijeron que no están al tanto de ningún informe de fraude de identidad o uso indebido de la información filtrada. La brecha de seguridad de Fortinet afecta los datos de los clientes de Asia-Pacífico La empresa de ciberseguridad Fortinet dijo el jueves que sufrió un acceso no autorizado a una unidad de archivos compartida basada en la nube de terceros que comprometió «datos limitados relacionados con un pequeño número de clientes de Fortinet». La empresa, actualmente valorada en unos 50.000 millones de dólares, dijo a la publicación de negocios australiana Capital Brief que el incidente de seguridad no afectó a sus operaciones, productos o servicios. «Nos hemos comunicado directamente con los clientes según corresponda», dijo un portavoz de la empresa. «Hasta la fecha, no hay indicios de que este incidente haya dado lugar a una actividad maliciosa que afecte a ningún cliente». Capital Brief informó que la brecha de seguridad afectó a los datos de la división de Asia-Pacífico de Fortinet. Konni aumenta los ataques a Rusia y Corea del Sur El grupo de piratas informáticos Konni, vinculado a Corea del Norte y asociado con el grupo Kimsuky patrocinado por el estado, intensificó los esfuerzos de ciberespionaje dirigidos a Rusia y Corea del Sur, según un informe de la firma de ciberseguridad surcoreana Genians. Desde 2021, Konni se ha centrado en objetivos de alto perfil, incluido el Ministerio de Asuntos Exteriores de Rusia, la Embajada de Rusia en Indonesia y varias empresas de Corea del Sur. El grupo suele utilizar correos electrónicos de phishing relacionados con impuestos, becas y finanzas para infectar sistemas con malware. Otra cobertura de la semana pasada Con informes de Prajeet Nair de Information Security Media Group en Bengaluru, India; Jayant Chakravarti en Pune, India; Akshaya Asokan en el sur de Inglaterra; y Marianne Kolbasuk McGee en los suburbios de Boston. URL de la publicación original: https://www.databreachtoday.com/breach-roundup-mexico-in-hacker-spotlight-a-26276