Etiqueta: Ataques ciberneticos Página 1 de 15

Los ataques que atacan a los usuarios en sus navegadores web han visto un aumento sin precedentes en los últimos años. En este artículo, exploraremos qué es un «ataque basado en el navegador» y por qué están demostrando ser tan efectivos. ¿Qué es un ataque basado en el navegador? Primero, es importante establecer qué es un ataque basado en el navegador. En la mayoría de los escenarios, los atacantes no piensan en sí mismos como atacando a su navegador web. Su gol final es comprometer sus aplicaciones y datos comerciales. Eso significa perseguir los servicios de terceros que ahora son la columna vertebral de la TI de negocios. La ruta de ataque más común hoy en día ve a los atacantes iniciar sesión en servicios de terceros, descargar los datos y monetizarlo a través de la extorsión. Solo necesita mirar las violaciones del cliente del copo de nieve del año pasado o los ataques de Salesforce aún de viaje para ver el impacto. La forma más lógica de hacerlo es dirigirse a los usuarios de esas aplicaciones. Y debido a los cambios en las prácticas laborales, sus usuarios son más accesibles que nunca a los atacantes externos, y expuestos a una gama más amplia de posibles técnicas de ataque. Los ataques basados ​​en el navegador como AITM Phishing, ClickFix y Consent Phishing han visto un aumento sin precedentes en los últimos años. Érase una vez, el correo electrónico fue el canal de comunicación principal con el mundo más amplio, y el trabajo ocurrió localmente, en su dispositivo y dentro de su entorno de red bloqueado. Esto hizo que el correo electrónico y el punto final la más alta prioridad desde una perspectiva de seguridad. Pero ahora, con el trabajo moderno que ocurre en una red de aplicaciones de Internet descentralizadas y canales de comunicación más variados fuera del correo electrónico, es más difícil evitar que los usuarios interactúen con contenido malicioso (al menos, sin impedir significativamente su capacidad para hacer sus trabajos). Dado que el navegador es el lugar donde se accede y usan aplicaciones comerciales, tiene sentido que los ataques también estén desarrollando cada vez más. Los 6 ataques basados ​​en el navegador clave que los equipos de seguridad necesitan saber sobre 1. Phishing para credenciales y sesiones La forma más directa para que un atacante comprometa una aplicación comercial es phish a un usuario de esa aplicación. Es posible que no pienses necesariamente en el phishing como un ataque basado en el navegador, pero eso es exactamente lo que es hoy. Las herramientas y la infraestructura de phishing han evolucionado mucho en la última década, mientras que los cambios en los negocios significan que hay muchos más vectores para la entrega de ataque de phishing, y aplicaciones e identidades para el objetivo. Los atacantes pueden entregar enlaces sobre aplicaciones instantáneas de mensajería, redes sociales, SMS, anuncios maliciosos y usar la funcionalidad de mensajero en la aplicación, así como enviar correos electrónicos directamente de los servicios SaaS para evitar los controles basados ​​en el correo electrónico. Del mismo modo, ahora hay cientos de aplicaciones por empresa para apuntar, con diferentes niveles de configuración de seguridad de la cuenta. El phishing ahora es múltiple y canal cruzado, dirigido a una amplia gama de aplicaciones de nubes y SaaS que utilizan kits de herramientas AITM flexibles, pero todas las carreteras inevitablemente conducen al navegador. Hoy, Phishing opera a escala industrial, utilizando una variedad de técnicas de evasión de ofuscación y detección. La última generación de kits de phishing de bypassing MFA totalmente personalizados está ofuscando dinámicamente el código que carga la página web, implementando la protección de bot (por ejemplo, Captcha o Turnstile de Cloudflare), utilizando características anti-análisis de tiempo de ejecución y utilizando SaaS y servicios de nube legítimos para host y entregar enlaces de phishing para cubrir sus seguidores. Puede leer más sobre las formas en que los ataques de phishing modernos están pasando por alto los controles de detección aquí. Estos cambios hacen que el phishing sea más efectivo que nunca, y cada vez más difícil de detectar y bloquear el uso de herramientas anti-phishing basadas en el correo electrónico y la red. 2. Copiar y pegar malicioso (también conocido como ClickFix, FileFix, etc.) Una de las tendencias de seguridad más grandes en el último año ha sido la aparición de la técnica de ataque conocida como ClickFix. Originalmente conocido como «Captcha falso», estos ataques intentan engañar a los usuarios para que ejecutaran comandos maliciosos en su dispositivo, generalmente resolviendo alguna forma de desafío de verificación en el navegador. En realidad, al resolver el desafío, la víctima en realidad está copiando código malicioso del portapapeles de página y ejecutándolo en su dispositivo. Por lo general, proporciona instrucciones de víctimas que implican hacer clic en las indicaciones y copiar, pegar y ejecutar comandos directamente en el cuadro de diálogo Ejecutar Windows, terminal o PowerShell. También han surgido variantes como FileFix, que en su lugar usan la barra de direcciones del Explorador de archivos para ejecutar comandos del sistema operativo, mientras que los ejemplos recientes han visto que este ataque se ramifica a Mac a través del terminal MACOS. Más comúnmente, estos ataques se utilizan para entregar malware de Infente de Infentes, utilizando cookies y credenciales de sesión robadas para acceder a aplicaciones y servicios comerciales. Al igual que la credencial moderna y el phishing de sesión, los enlaces a las páginas maliciosas se distribuyen a través de varios canales de entrega y utilizando una variedad de señuelos, incluida la suplantación de Captcha, el torniquete de Cloudflare, simulando un error cargando una página web y muchos más. Muchas de las mismas protecciones que se utilizan para ofuscar y evitar el análisis de las páginas de phishing también se aplican a las páginas de ClickFix, lo que hace que sea igualmente difícil detectarlas y bloquearlas. Ejemplos de señuelos de ClickFix utilizados por los atacantes en la naturaleza. 3. Integraciones de OAuth maliciosas Las integraciones de OAuth Maliciosos son otra forma para que los atacantes comprometan una aplicación engañando a un usuario para que autorice una integración con una aplicación maliciosa y controlada por los atacantes. Esto también se conoce como phishing de consentimiento. Ejemplos de phishing de consentimiento, donde un atacante engaña a la víctima para que autorice una aplicación controlada por el atacante con permisos arriesgados. Esta es una forma efectiva para que los atacantes eluden la autenticación endurecida y los controles de acceso al esquivar el proceso de inicio de sesión típico para hacerse cargo de una cuenta. Esto incluye métodos MFA resistentes a phishing como Keeys, ya que el proceso de inicio de sesión estándar no se aplica. Una variante de este ataque ha dominado los titulares recientemente con las violaciones en curso de Salesforce. En este escenario, el atacante engañó a la víctima para que autorice una aplicación OAuth controlada por el atacante a través del flujo de autorización del código del dispositivo en Salesforce, que requiere que el usuario ingrese un código de 8 dígitos en lugar de una contraseña o factor MFA. Los ataques en curso de Salesforce implican que las aplicaciones de OAuth maliciosas se les otorgue acceso al inquilino de Salesforce de la víctima. Evitar que las subvenciones de OAuth maliciosas sean autorizadas requiere una administración ajustada en la aplicación de los permisos de los usuarios y la configuración de seguridad de los inquilinos. Esto no es una hazaña cuando se considere los 100 de aplicaciones en uso en toda la empresa moderna, muchas de las cuales no son administradas centralmente por los equipos de TI y de seguridad (o en algunos casos, son completamente desconocidos para ellos). Incluso entonces, está limitado por los controles puestos disponibles por el proveedor de aplicaciones. En este caso, Salesforce ha anunciado cambios planificados en la autorización de aplicaciones OAuth para mejorar la seguridad provocada por estos ataques, pero existen muchas más aplicaciones con configuraciones inseguras para que los atacantes se aprovechen en el futuro. 4. Extensiones del navegador malicioso Las extensiones de navegador malicioso son otra forma para que los atacantes comprometan sus aplicaciones comerciales observando y capturando inicios de sesión a medida que ocurren, y/o extraer cookies y credenciales de sesión guardadas en el caché y el administrador de contraseñas del navegador. Los atacantes hacen esto creando su propia extensión maliciosa y engañando a sus usuarios para que la instalen, o se apoderen de una extensión existente para obtener acceso a los navegadores donde ya está instalado. Es sorprendentemente fácil para los atacantes comprar y agregar actualizaciones maliciosas a las extensiones existentes, pasando fácilmente los controles de seguridad de la tienda web de extensión. La noticia sobre los compromisos basados ​​en la extensión ha estado en aumento desde que la extensión Cyberhaven fue pirateada en diciembre de 2024, junto con al menos otras 35 extensiones. Desde entonces, se han identificado cientos de extensiones maliciosas, con millones de instalaciones. En general, sus empleados no deben instalar al azar las extensiones del navegador a menos que su equipo de seguridad aprobara preaprobado. Sin embargo, la realidad es que muchas organizaciones tienen muy poca visibilidad de las extensiones que sus empleados están utilizando, y como resultado el riesgo potencial al que están expuestos. 5. Entrega de archivos maliciosos Los archivos maliciosos han sido una parte central de la entrega de malware y el robo de credenciales durante muchos años. Al igual que los canales que no son de correo electrónico como la malvertimiento y los ataques de conducción se utilizan para entregar señuelos de phishing y clickFix, los archivos maliciosos también se distribuyen a través de medios similares: dejar la detección de archivos maliciosos a las verificaciones básicas de capas conocidas, el análisis de sandbox utilizando un proxy (no tan útil en el contexto del malware de sandbox) o el análisis de tiempo de ejecución en el punto final. Esto no solo tiene que ser ejecutables maliciosos que dejan caer malware directamente en el dispositivo. Las descargas de archivos también pueden contener enlaces adicionales que llevan al usuario a contenido malicioso. De hecho, uno de los tipos más comunes de contenido descargable son las aplicaciones HTML (HTA), comúnmente utilizadas para generar páginas de phishing locales para capturar sigilosamente las credenciales. Más recientemente, los atacantes han estado armando archivos SVG para un propósito similar, que se ejecutan como páginas de phishing autónomos que representan portales de inicio de sesión falsos por completo. Incluso si el contenido malicioso no siempre se puede marcar desde la inspección a nivel de superficie de un archivo, grabar descargas de archivos en el navegador es una adición útil a la protección de malware basada en el punto final, y proporciona otra capa de defensa contra descargas de archivos que realizan ataques del lado del cliente, o redirigen al usuario a contenido malicioso basado en la web. 6. Credenciales robadas y brechas de MFA Este último no es tanto un ataque basado en el navegador, pero es un producto de ellos. Cuando se roban credenciales a través de phishing o malware de infantes de inforte, pueden usarse para hacerse cargo de las cuentas que faltan MFA. Este no es el ataque más sofisticado, pero es muy efectivo. Solo necesita mirar los compromisos de la cuenta del copo de nieve del año pasado o los ataques de JIRA a principios de este año para ver cómo los atacantes aprovechan las credenciales robadas a escala. Con la empresa moderna utilizando cientos de aplicaciones, la probabilidad de que una aplicación no haya sido configurada para MFA obligatorio (si es posible) es alta. E incluso cuando una aplicación se ha configurado para SSO y conectada a su identidad corporativa primaria, pueden continuar existiendo «inicios de sesión fantasma» locales, aceptando contraseñas sin MFA requerido. También se pueden observar inicios de sesión en el navegador; de hecho, es tan cercano a una fuente universal de verdad como va a obtener sobre cómo sus empleados realmente están iniciando sesión, qué aplicaciones están utilizando y si MFA está presente, lo que permite a los equipos de seguridad encontrar y arreglar los inicios de sesión vulnerables antes de que los atacantes puedan explotarse. Los ataques de conclusión están sucediendo cada vez más en el navegador. Eso lo convierte en el lugar perfecto para detectar y responder a estos ataques. Pero en este momento, el navegador es un punto ciego para la mayoría de los equipos de seguridad. La plataforma de seguridad basada en el navegador de Push Security proporciona capacidades integrales de detección y respuesta contra la principal causa de infracciones. Push Blocks Ataques basados ​​en el navegador como phishing AITM, relleno de credenciales, pulverización de contraseñas y secuestro de sesión utilizando tokens de sesión robados. También puede usar Push para encontrar y arreglar vulnerabilidades en las aplicaciones que usan sus empleados, como inicios de sesión fantasma, brechas de cobertura SSO, brechas de MFA, contraseñas vulnerables, integraciones arriesgadas de OAuth y más para endurecer su superficie de ataque de identidad. Si desea obtener más información sobre cómo Push lo ayuda a detectar y detener los ataques en el navegador, consulte nuestra última descripción general del producto o reserve algo de tiempo con uno de nuestro equipo para una demostración en vivo. ¿Encontró este artículo interesante? Este artículo es una pieza contribuida de uno de nuestros valiosos socios. Síguenos en Google News, Twitter y LinkedIn para leer más contenido exclusivo que publicamos.

Se ha revelado una debilidad de seguridad en el cursor del editor de código de inteligencia artificial (IA) que podría activar la ejecución del código cuando se abre un repositorio de forma maliciosa utilizando el programa. El problema proviene del hecho de que una configuración de seguridad lista para usar está deshabilitada de forma predeterminada, abriendo la puerta para que los atacantes ejecutaran código arbitrario en las computadoras de los usuarios con sus privilegios. «Cursor se envía con el espacio de trabajo de Trust deshabilitado de forma predeterminada, por lo que VS Tareas de estilo de código configuradas con RunOptions. «Un malicioso .vscode/Tasks.json convierte una ‘carpeta abierta’ casual en la ejecución de código silencioso en el contexto del usuario». Cursor es una bifurcación de IA de Código Visual Studio, que admite una característica llamada Workspace Trust para permitir a los desarrolladores navegar y editar el código de forma segura, independientemente de dónde vino o quién la escribió. Con esta opción deshabilitada, un atacante puede poner a disposición un proyecto en GitHub (o cualquier plataforma) e incluir una instrucción oculta de «autorrun» que instruya al IDE a ejecutar una tarea tan pronto como se abre una carpeta, lo que hace que se ejecute el código malicioso cuando la víctima intente hornear el depósito de bocas en el depósito de cursores. «Esto tiene el potencial de filtrar credenciales confidenciales, modificar archivos o servir como un vector para un compromiso más amplio del sistema, colocando a los usuarios de cursores con un riesgo significativo de los ataques de la cadena de suministro», dijo el investigador de seguridad de Oasis Erez Schwartz. Para contrarrestar esta amenaza, se aconseja a los usuarios que habiliten la confianza del lugar de trabajo en el cursor, abran repositorios no confiables en un editor de código diferente y los auditen antes de abrirlos en la herramienta. El desarrollo se produce a medida que las inyecciones rápidas y los jailbreaks han surgido como una amenaza sigilosa y sistémica que afecta a agentes de codificación y razonamiento con AI como Claude Code, Cline, K2 Think y Windsurf, lo que permite a los actores de amenaza integrar instrucciones maliciosas de manera astuta para engañar a los sistemas en acciones de rendimiento o filtración de datos de los entornos de desarrollo de software. El equipo de seguridad de la cadena de suministro de software, CheckMarx, en un informe la semana pasada, reveló cómo las revisiones de seguridad automatizadas recién introducidas de Anthrope en el código Claude podrían exponer los proyectos de manera inadvertida a los riesgos de seguridad, incluida la instrucción de que ignore el código vulnerable a través de inyecciones rápidas, lo que hace que los desarrolladores impulsen las revisiones de seguridad del código malicioso o inseguro. «En este caso, un comentario cuidadosamente escrito puede convencer a Claude de que incluso el código claramente peligroso es completamente seguro», dijo la compañía. «El resultado final: un desarrollador, ya sea malicioso o simplemente tratando de cerrar Claude, puede engañar fácilmente a Claude para que piense que una vulnerabilidad es segura». Otro problema es que el proceso de inspección de la IA también genera y ejecuta casos de prueba, lo que podría conducir a un escenario en el que el código malicioso se ejecuta contra las bases de datos de producción si el código Claude no se sencilla correctamente. La compañía de IA, que también lanzó recientemente una nueva función de creación y edición de archivos en Claude, advirtió que la característica conlleva riesgos de inyección rápidos debido a que se ejecuta en un «entorno informático de arena con acceso limitado a Internet». Específicamente, es posible que un actor malo sea «discretamente» agregue instrucciones a través de archivos o sitios web externos, también conocidos como inyección indirecta de inmediato, que engañan al chatbot para que descargue y ejecute código no confiable o lean datos confidenciales de una fuente de conocimiento conectada a través del protocolo de contexto del modelo (MCP). «Esto significa que Claude puede ser engañado para enviar información de su contexto (por ejemplo, indicaciones, proyectos, datos a través de MCP, Google Integrations) a terceros maliciosos», dijo Anthrope. «Para mitigar estos riesgos, le recomendamos que monitoree a Claude mientras usa la función y la detiene si la ve usando o acceder a datos inesperadamente». Eso no es todo. A fines del mes pasado, la compañía también reveló modelos de IA que usan el navegador como Claude for Chrome puede enfrentar ataques de inyección inmediata, y que ha implementado varias defensas para abordar la amenaza y reducir la tasa de éxito de ataque de 23.6% a 11.2%. «Las nuevas formas de ataques de inyección inmediatos también están siendo desarrolladas constantemente por actores maliciosos», agregó. «Al descubrir ejemplos del mundo real de comportamiento inseguro y nuevos patrones de ataque que no están presentes en las pruebas controladas, enseñaremos a nuestros modelos a reconocer los ataques y explicar los comportamientos relacionados, y aseguraremos que los clasificadores de seguridad elijan cualquier cosa que el modelo mismo pierda». Al mismo tiempo, estas herramientas también se han encontrado susceptibles a las vulnerabilidades de seguridad tradicionales, ampliando la superficie de ataque con un impacto potencial del mundo real: un bypass de autenticación de WebSocket en Claude Code IDE Extensions (CVE-2025-52882, CVSS Score: 8.8) que podría haber permitido que un atacante de los atacantes de un victim que no se conecte a un víctima de un víctima sea un servidor a la redentada de un víctima a un atacante a los que les visitará un sitio web. Ejecución Una vulnerabilidad de inyección de SQL en el servidor MCP de Postgres que podría haber permitido a un atacante evitar la restricción de solo lectura y ejecutar declaraciones arbitrarias de SQL una vulnerabilidad transversal de ruta en Microsoft NLWEB que podría haber permitido a un atacante remoto leer archivos sensibles, incluidas las configuraciones del sistema («/etc//credenciales de la nube (. Vulnerabilidad de autorización incorrecta en adorable (CVE-2025-48757, puntaje CVSS: 9.3) que podría haber permitido a los atacantes no autenticados remotos leer o escribir en tablas de base de datos arbitrarias de la base de datos de los sitios generados. workspace, harvest API keys, inject malicious logic into user-generated applications, and exfiltrate data A vulnerability in Ollama Desktop arising as a result of incomplete cross-origin controls that could have allowed an attacker to stage a drive-by attack, where visiting a malicious website can reconfigure the application’s settings to intercept chats and even alter responses using poisoned models «As AI-driven development accelerates, Las amenazas más apremiantes a menudo no son ataques de IA exóticos, sino fallas en los controles de seguridad clásicos «, dijo Imperva. «Para proteger el creciente ecosistema de las plataformas de ‘codificación de ambientes’, la seguridad debe tratarse como una base, no como una ocurrencia tardía».

El panorama de seguridad para aplicaciones nativas de nube está experimentando una transformación profunda. Los contenedores, los kubernetes y las tecnologías sin servidor son ahora los predeterminados para las empresas modernas, acelerando la entrega, pero también amplian la superficie de ataque de manera que los modelos de seguridad tradicionales no pueden mantenerse al día. A medida que crece la adopción, también lo hace la complejidad. Se pide a los equipos de seguridad que controlen los entornos híbridos en expansión, revisen miles de alertas y protejan aplicaciones dinámicas que evolucionan varias veces al día. La pregunta no es solo cómo detectar riesgos antes, es cómo priorizar y responder a lo que realmente importa en tiempo real. Ahí es donde entran en juego las plataformas de protección de aplicaciones nativas de nube (CNAPP). Estas plataformas consolidan la visibilidad, el cumplimiento, la detección y la respuesta en un sistema unificado. Pero en 2025, una capacidad está resultando indispensable: la visibilidad del tiempo de ejecución. El nuevo centro de gravedad: tiempo de ejecución durante años, la seguridad en la nube se ha apoyado en gran medida en controles preventivos como escaneo de código, verificaciones de configuración y aplicación de cumplimiento. Si bien esencial, estas medidas proporcionan solo una parte de la imagen. Identifican riesgos teóricos, pero no si esos riesgos son activos y explotables en la producción. La visibilidad de tiempo de ejecución llena ese vacío. Al observar qué cargas de trabajo se están ejecutando, y cómo se comportan, los equipos de seguridad obtienen la señal de fidelidad más alta para priorizar las amenazas. Contexto de tiempo de ejecución Respuestas a preguntas críticas: ¿Es esta vulnerabilidad accesible en una carga de trabajo en vivo? ¿Es esta configuración errónea creando un camino de ataque real? ¿Se está explotando esta carga de trabajo en este momento? Sin tiempo de ejecución, las organizaciones corren el riesgo de perseguir falsos positivos, mientras que los atacantes explotan las debilidades reales. Con el tiempo de ejecución, los equipos pueden concentrarse en solucionar los problemas que más importan, reduciendo el ruido y la exposición. Desde la prevención hasta la priorización, las empresas modernas enfrentan una avalancha de alertas entre escáneres de vulnerabilidad, herramientas de postura en la nube y plataformas de seguridad de aplicaciones. El volumen no solo es abrumador, es insostenible. Los analistas a menudo pasan más tiempo triando alertas que solucionar problemas. Para ser efectivos, las organizaciones deben mapear vulnerabilidades y configuraciones erróneas para: las cargas de trabajo que se ejecutan activamente. Las aplicaciones comerciales que apoyan. Los equipos responsables de arreglarlos. Esta alineación es crítica para cerrar la brecha entre la seguridad y el desarrollo. Los desarrolladores a menudo ven los hallazgos de seguridad como interrupciones disruptivas de bajo contexto. Mientras tanto, los equipos de seguridad carecen de la visibilidad de la propiedad y la responsabilidad que se necesita para impulsar la remediación. Al preparar la priorización en los conocimientos de tiempo de ejecución, las empresas pueden garantizar que los equipos correctos solucionen los problemas correctos en el momento adecuado. El papel de la IA en la seguridad de la nube incluso con una mejor priorización, la escala y la complejidad de los entornos de la nube desafían a los equipos humanos. Aquí es donde la inteligencia artificial está comenzando a remodelar el paisaje CNAPP. La IA puede ayudar: correlacionando las señales en todos los dominios. Los eventos aparentemente no relacionados en los registros, el tráfico de red y el comportamiento de la carga de trabajo pueden revelar campañas de ataque emergentes. Reducción de falsos positivos. El reconocimiento de patrones y los modelos de lenguaje grande pueden identificar qué alertas son realmente procesables. Respuesta aceleradora. El razonamiento automatizado puede sugerir pasos de remediación o incluso tomar medidas en escenarios de bajo riesgo. En Sysdig, hemos visto cómo AI puede servir como un multiplicador de fuerza para los equipos de seguridad. Nuestro propio analista de seguridad de IA, Sysdig Sage ™, utiliza un razonamiento de varios pasos para analizar patrones de ataque complejos e ideas de superficie que las herramientas tradicionales pierden. Para los Centros de Operaciones de Seguridad (SOC) sobrecargadas, esto significa una detección más rápida y un tiempo medio más corto de resolución (MTTR). La comida para llevar: AI no está reemplazando a los equipos de seguridad, pero está remodelando cómo operan, filtrando el ruido, enriqueciendo el contexto y habilitando decisiones más inteligentes y más rápidas. Responsabilidad y colaboración Otro desafío que enfrentan las empresas es la responsabilidad. Los hallazgos de seguridad solo son valiosos si llegan al propietario correcto con el contexto correcto. Sin embargo, en muchas organizaciones, se informan vulnerabilidades sin claridad sobre qué equipo debe arreglarlas. Esta es la razón por la cual mapear los hallazgos de los artefactos de código, la propiedad y el contexto de implementación es fundamental. Asegura que las vulnerabilidades descubiertas en la producción se remonten al equipo que las introdujo. La seguridad se convierte en una responsabilidad compartida, no una carga aislada. Las asociaciones e integraciones juegan un papel clave aquí. Por ejemplo, la colaboración de SYSDIG con SEMGREP permite a las organizaciones conectar vulnerabilidades de tiempo de ejecución con su código fuente de origen, reduciendo el regreso y el final entre los equipos y la remediación de racionalización. Por qué la consolidación es inevitable que las empresas se han basado durante mucho tiempo en las mejores herramientas de seguridad. Pero en la nube, la fragmentación se convierte en una responsabilidad. Los productos de múltiples puntos generan hallazgos duplicados, carecen de contexto compartido y aumentan la sobrecarga operativa. CNAPP representa la siguiente etapa de consolidación. Al unificar la gestión de vulnerabilidad, la evaluación de la postura, la detección de amenazas y la respuesta de incidentes en una sola plataforma, las organizaciones pueden: eliminar los silos. Reduzca la expansión de la herramienta. Obtenga una sola fuente de verdad para el riesgo de nubes. Y lo más importante, pueden vincular todo al tiempo de ejecución, asegurando que las amenazas del mundo real nunca se pierdan en el ruido. Prepararse para lo que sigue, el aumento de contenedores y aplicaciones nativas de la nube no muestra signos de desaceleración. De hecho, para fines de la década, se espera que los contenedores alimenten la mitad de todas las aplicaciones empresariales. Con este crecimiento viene la presión para que los equipos de seguridad adopten estrategias que escalen, simplifiquen y automaticen. El futuro de la seguridad en la nube se definirá por tres prioridades: la visibilidad de tiempo de ejecución para reducir el ruido y centrarse en el riesgo real. Asistencia impulsada por la IA para ayudar a los equipos a clasificar, priorizar y responder a velocidad de la máquina. Plataformas unificadas que consolidan herramientas fragmentadas en una visión única y contextual del riesgo en la nube. Las empresas que adoptan este modelo se posicionarán para moverse más rápido, reducir la exposición y mantenerse por delante de los atacantes. Aquellos que se aferran a las herramientas desconectadas y los procesos reactivos se encontrarán cada vez más superados. Asegure lo que importa, cuando importa, la nube ha redefinido cómo las empresas construyen y ejecutan aplicaciones. Ahora está redefiniendo cómo deben asegurarlos. La visibilidad de tiempo de ejecución, la priorización impulsada por la IA y las plataformas unificadas ya no son opcionales, son esenciales. En Sysdig, creemos que el futuro de la seguridad en la nube está arraigado en el contexto y la colaboración en tiempo real. Al centrarse en lo que está sucediendo activamente en la producción, las organizaciones pueden alinear la seguridad y el desarrollo, reducir los falsos positivos y responder a las amenazas con confianza. El mensaje es claro: deje de perseguir cada alerta y comience a centrarse en lo que más importa. Para explorar estas tendencias en mayor profundidad, descargue la Guía de mercado completa de 2025 Gartner® para plataformas de protección de aplicaciones nativas de nube. ¿Encontró este artículo interesante? Este artículo es una pieza contribuida de uno de nuestros valiosos socios. Síguenos en Google News, Twitter y LinkedIn para leer más contenido exclusivo que publicamos.

Sep 12, 2025Rravie Lakshmananvulnerabilidad / espionaje cibernético La Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) agregó el jueves el jueves una falla de seguridad crítica que impacta el sistema de dassault Delmia Delmia AprisO Manufacturing Management Software a su conocida vulnerabilidades explotadas (Kev), según la evidencia de la evidencia de la expectación activa. La vulnerabilidad, rastreada como CVE-2025-5086, conlleva un puntaje CVSS de 9.0 de 10.0. Según Dassault, el problema impacta las versiones desde el lanzamiento 2020 hasta el lanzamiento 2025. «Dassault Systèmes Delmia Apriso contiene una deserialización de la vulnerabilidad de datos no confiable que podría conducir a una ejecución de código remoto», dijo la agencia en un aviso. La adición de CVE-2025-5086 al catálogo de KEV se produce después de que el Centro de tormentas de Internet informó haber visto intentos de explotación dirigidos a la falla que se originan en la dirección IP 156.244.33[.]162, que geoloca a México. Los ataques implican enviar una solicitud HTTP al punto final «/apriso/webservices/flexnetoperationsservice.svc/invoke» con una carga útil codificada de Base64 que decodifica a un GZIP comprometido con Windows Ejecutable («FWITXZ01.dll»), Johannes B. Ullgrich, el Dean de la investigación de SANS Technology. Kaspersky ha marcado el DLL como «troyan.msil.zapchast.gen», que la compañía describe como un programa malicioso diseñado para espiar electrónicamente las actividades de un usuario, incluida la captura de la entrada del teclado, la toma de capturas de pantalla y la recopilación de aplicaciones activas, entre otras. «La información recopilada se envía al cibercriminal por varios medios, incluidos el correo electrónico, FTP y HTTP (enviando datos en una solicitud)», agregó el proveedor de seguridad cibernética rusa. Las variantes de Zapchast, según Bitdefender y Trend Micro, se han distribuido a través de correos electrónicos de phishing con archivos adjuntos maliciosos durante más de una década. Actualmente no está claro si «Trojan.msil.zapchast.gen» es una versión mejorada del mismo malware. A la luz de la explotación activa, se aconseja a las agencias federales de rama ejecutiva civil (FCEB) que apliquen las actualizaciones necesarias antes del 2 de octubre de 2025 para asegurar sus redes.

sep 12, 2025Ravie Lakshmanan Apple ha notificado a los usuarios en Francia de una campaña de spyware que se dirige a sus dispositivos, según el Equipo de Respuesta a Emergencias de la Computación de Francia (CERT-FR). La agencia dijo que las alertas fueron enviadas el 3 de septiembre de 2025, lo que lo convierte en la cuarta vez este año que Apple ha notificado a los ciudadanos en el condado que al menos uno de los dispositivos vinculados a sus cuentas de iCloud puede haber sido comprometido como parte de ataques altamente dirigidos. La agencia no compartió más detalles sobre qué desencadenó estas alertas. Las notificaciones de amenazas anteriores se enviaron el 5 de marzo, el 29 de abril y el 25 de junio. Apple ha estado enviando estos avisos desde noviembre de 2021. «Estos ataques complejos atacan a las personas o la función: periodistas, abogados, activistas, políticos, altos funcionarios, miembros de los comités directivos de sectores estratégicos, etc.», dijo CERT-FR. El desarrollo se produce menos de un mes después de que surgió que una falla de seguridad en WhatsApp (CVE-2025-55177, puntaje CVSS: 5.4) fue encadenado con un error de Apple iOS (CVE-2025-43300, puntaje CVSS: 8.8) como parte de los ataques cero. Posteriormente, WhatsApp le dijo a The Hacker News que había enviado notificaciones de amenaza en la aplicación a menos de 200 usuarios que pueden haber sido atacados como parte de la campaña. No se sabe quién, y qué proveedor comercial de spyware, está detrás de la actividad. La divulgación se produce cuando Apple ha introducido una característica de seguridad en los últimos modelos de iPhone llamados Memory Integrity Enforcement (MIE) para combatir las vulnerabilidades de la corrupción de la memoria y dificultar que los proveedores de vigilancia, que generalmente dependen de tales días cero para plantar SPYWare en el teléfono de un objetivo. En un informe publicado esta semana, el Consejo Atlántico dijo que el número de inversores de los Estados Unidos en tecnologías de spyware y vigilancia saltó del 11 en 2023 al 31 el año pasado, superando a otros países de inversión importantes como Israel, Italia y el Reino Unido. En total, el estudio ha marcado a dos compañías holding, 55 individuos, 34 inversores, dieciocho socios, siete subsidiarias, 10 proveedores y cuatro proveedores que se establecieron en el último año en el mercado de spyware. Esto incluye nuevas entidades de spyware en Japón, Malasia y Panamá, así como vendedores como Bindecy de Israel e Italia SIO. «La cantidad de entidades estadounidenses que invierten en el mercado de spyware es tres veces mayor que en los próximos tres países más altos con la mayoría de los inversores», dijo el informe, y agregó que «el 56% de los inversores están incorporados en Israel, Estados Unidos, Italia y el Reino Unido». «Los Tesellers y los corredores ahora son actores clave en el mercado de spyware, que comprenden más participación en el mercado de muestras de lo que se demostró anteriormente, y a menudo se obsesionan y no se abordan fácilmente en las deliberaciones de políticas actuales».

La Oficina Federal de Investigación de los Estados Unidos (FBI) ha emitido una alerta flash para liberar indicadores de compromiso (COI) asociados con dos grupos cibercriminales rastreados como UNC6040 y UNC6395 para una cadena de robos de datos y ataques de extorsión. «Recientemente se ha observado que ambos grupos se dirigen a las plataformas Salesforce de las organizaciones a través de diferentes mecanismos de acceso inicial», dijo el FBI. UNC6395 es un grupo de amenazas que se le ha atribuido una campaña de robo de datos generalizada que se dirige a las instancias de Salesforce en agosto de 2025 al explotar los tokens OAuth comprometidos para la aplicación SalesLoft Drift. En una actualización emitida esta semana, Salesloft dijo que el ataque fue posible debido a la violación de su cuenta de GitHub desde marzo hasta junio de 2025. Como resultado de la violación, SalesLoft ha aislado la infraestructura de deriva y ha tomado la aplicación de chatbot de inteligencia artificial (IA) fuera de línea. La compañía también dijo que está en el proceso de implementación de nuevos procesos de autenticación multifactor y medidas de endurecimiento de GitHub. «Estamos enfocados en el endurecimiento continuo del entorno de aplicación de deriva», dijo la compañía. «Este proceso incluye credenciales de rotación, deshabilitar temporalmente ciertas partes de la aplicación de deriva y fortalecer las configuraciones de seguridad». «En este momento, estamos aconsejando a todos los clientes de deriva que traten todas y cada una de las integraciones de deriva y los datos relacionados como potencialmente comprometidos». El segundo grupo al que el FBI ha llamado la atención es UNC6040. Se evalúa que está activo desde octubre de 2024, UNC6040 es el nombre asignado por Google a un clúster de amenazas motivado financieramente que se ha dedicado a las campañas de Vishing para obtener acceso inicial y secuestro de instancias de Salesforce para robo y extorsión de datos a gran escala. Estos ataques han involucrado el uso de una versión modificada de la aplicación de cargador de datos de Salesforce y los scripts de Python personalizados para violar los portales de Salesforce de las víctimas y exfiltrar datos valiosos. Al menos algunos de los incidentes han involucrado actividades de extorsión después de las intrusiones de UNC6040, y tienen lugar meses después del robo de datos iniciales. «Los actores de amenaza de UNC6040 han utilizado paneles de phishing, ordenando a las víctimas que visiten desde sus teléfonos móviles o trabajan computadoras durante las llamadas de ingeniería social», dijo el FBI. «Después de obtener acceso, los actores de amenaza de UNC6040 han utilizado consultas API para exfiltrar grandes volúmenes de datos a granel». Google ha atribuido la fase de extorsión a otro clúster sin categoría rastreado como UNC6240, que ha afirmado constantemente ser el grupo Shinyhunters en correos electrónicos y llamados a empleados de organizaciones víctimas. «Además, creemos que los actores de amenaza que usan la marca ‘Shinyhunters’ pueden estar preparándose para aumentar sus tácticas de extorsión mediante el lanzamiento de un sitio de fuga de datos (DLS)», señaló Google el mes pasado. «Es probable que estas nuevas tácticas tengan la intención de aumentar la presión sobre las víctimas, incluidas las asociadas con las infracciones de datos relacionadas con la fuerza de ventas recientes de UNC6040». Desde entonces, ha habido una gran cantidad de desarrollos, el más notable es el equipo de Shinyhunters, Spiders Spider y Lapsus $ para consolidar y unificar sus esfuerzos criminales. Luego, el 12 de septiembre de 2025, el grupo afirmó en su canal Telegram «dispersado Lapsus $ cazadores 4.0» que están cerrando. «Lapsus $, Trihash, Yurosh, Yaxsh, Wytrozz, N3Z0X, Nitroz, Toxiqueroot, Prosx, Pertinax, Kurosh, Clown, Intelbroker, Spiders Spider, Yukari y entre muchos otros, han decidido ir oscurecer», dijo el grupo. «Nuestros objetivos han sido cumplidos, ahora es el momento de decir adiós». Actualmente no está claro qué llevó al grupo a colgar sus botas, pero es posible que el movimiento sea un intento de estar bajo y evitar más atención de la aplicación de la ley. «El recién formado grupo de Lapsus $ Hunters 4.0 dijo que está colgando las botas y» oscurecer «después de que alegó que la policía francesa arrestó a otra persona equivocada en relación con el grupo de delitos cibernéticos», dijo Sam Rubin, vicepresidente senior de consultoría y inteligencia de amenazas de la Unidad 42, a The Hacker News. «Estas declaraciones rara vez señalan una verdadera jubilación». «Los arrestos recientes pueden haber llevado al grupo a estar bajo, pero la historia nos dice que esto a menudo es temporal. Grupos como este astillador, cambio de marca y resurgimiento, al igual que Shinyhunters. Incluso si las operaciones públicas se detienen, los riesgos permanecen: los datos robados pueden resurgir, las puestas no detectadas pueden persistir y los actores pueden volver a emerger bajo los nuevos nombres. El silencio de un grupo de amenazas no puede ser la igualdad de seguridad. suponiendo que la amenaza no ha desaparecido, solo adaptada «.

sep 12, 2025Ravie Lakshmananvulnerabilidad / seguridad móvil Samsung ha lanzado sus actualizaciones de seguridad mensuales para Android, incluida una solución para una vulnerabilidad de seguridad que, según él, ha sido explotada en ataques de día cero. La vulnerabilidad, CVE-2025-21043 (puntaje CVSS: 8.8), se refiere a una escritura fuera de los límites que podría dar como resultado una ejecución de código arbitraria. «Los fuera de los límites escriben en libimageCodec.quram.so antes de SMR SEP-2025 La versión 1 permite a los atacantes remotos ejecutar código arbitrario», dijo Samsung en un aviso. «El parche solucionó la implementación incorrecta». Según un informe 2020 de Google Project Zero, libimageCodec.quram.so es una biblioteca de análisis de imágenes de código cerrado desarrollada por Quramsoft que implementa soporte para varios formatos de imagen. El problema con calificación crítica, según el gigante electrónico de Corea del Sur, afecta a las versiones de Android 13, 14, 15 y 16. La vulnerabilidad fue divulgada de manera privada a la compañía el 13 de agosto de 2025. Samsung no compartió ningún detalle sobre cómo la vulnerabilidad está siendo explotada en ataques y quién puede estar detrás de estos esfuerzos. Sin embargo, reconoció que «una exploit para este problema ha existido en la naturaleza». El desarrollo se produce poco después de que Google dijo que resolvió dos fallas de seguridad en Android (CVE-2025-38352 y CVE-2025-48543) que, según dijo, se han explotado en ataques dirigidos.

Los investigadores de ciberseguridad han descubierto una nueva cepa de ransomware denominado HybridPetya que se asemeja al notorio malware Petya/Notpetya, al tiempo que incorpora la capacidad de evitar el mecanismo de arranque seguro en sistemas de interfaz de firmware extensible unificados (UEFI) utilizando una vulnerabilidad ahora cortada que se describe este año. La compañía de ciberseguridad eslovaco, ESET, dijo que las muestras se cargaron en la plataforma Virustotal en febrero de 2025. «HybridPetya cifra la tabla de archivos maestros, que contiene metadatos importantes sobre todos los archivos en particiones conformadas con NTFS», dijo el investigador de seguridad Martin Smolár. «A diferencia del Petya/Notpetya original, HybridPetya puede comprometer los sistemas modernos basados ​​en UEFI al instalar una aplicación EFI maliciosa en la partición del sistema EFI». En otras palabras, la aplicación UEFI implementada es el componente central que se encarga de encriptar el archivo de la tabla de archivos maestros (MFT), que contiene metadatos relacionados con todos los archivos en la partición formatizada por NTFS. HybridPetya viene con dos componentes principales: un botín y un instalador, con el primero apareciendo en dos versiones distintas. El BootKit, que implementa el instalador, es el principal responsable de cargar su configuración y verificar su estado de cifrado. Puede tener tres valores diferentes – 0 – Listo para el cifrado 1 – ya encriptado y 2 – Ransom pagado, disco descifrado si el valor se establece en 0, procede establecer el indicador en 1 y cifra el archivo \ efi \ Microsoft \ Boot \ Verify con el Algorith de cifrado Salsa20 utilizando la clave y no especificada en la configuración. También crea un archivo llamado «\ Efi \ Microsoft \ Boot \ Counter» en la partición del sistema EFI antes de iniciar el proceso de cifrado de disco de todas las particiones formatadas en NTFS. El archivo se utiliza para realizar un seguimiento de los grupos de disco ya cifrados. Además, el Bootkit actualiza el mensaje FALSO CHKDSK que se muestra en la pantalla de la víctima con información sobre el estado de cifrado actual, mientras que la víctima se engaña al pensar que el sistema está reparando errores de disco. Si el Bootkit detecta que el disco ya está encriptado (es decir, el indicador está configurado en 1), sirve una nota de rescate a la víctima, exigiéndoles que envíen $ 1,000 en bitcoin a la dirección de billetera especificada (34UNKKSGZZVF5AYBJKUA2YYYYZW89ZLWXU2). La billetera está actualmente vacía, aunque ha recibido $ 183.32 entre febrero y mayo de 2025. La pantalla Ransom Note también proporciona una opción para que la víctima ingrese la clave de engaño comprada desde el operador después de realizar el pago, después de la cual el Bootkit verifica la clave e intenta descifrar el archivo «EFI \ Microsoft \ Boot \ Verify». En caso de que se ingrese la clave correcta, el valor del indicador se establece en 2 y inicia el paso de descifrado leyendo el contenido del archivo «\ Efi \ Microsoft \ Boot \ contador». «El descifrado se detiene cuando el número de grupos descifrados es igual al valor del contador», dijo Smolár. «Durante el proceso de descifrado de MFT, el BootKit muestra el estado del proceso de descifrado actual». La fase de descifrado también implica que el BootKit que recupere los cargadores de arranque legítimos – «\ Efi \ Boot \ Bootx64.efi» y «\ Efi \ Microsoft \ Boot \ Bootmgfw.efi» – de las copias de seguridad previamente creadas durante el proceso de instalación. Una vez que se completa este paso, se le solicita a la víctima que reinicie su máquina Windows. Vale la pena señalar que los cambios en el cargador de arranque iniciados por el instalador durante la implementación del componente de Bootkit de UEFI desencadenan un bloqueo del sistema (también conocido como pantalla azul de muerte o BSOD) y asegura que el binario Bootkit se ejecute una vez que el dispositivo se enciende. Se ha encontrado que las variantes seleccionadas de HybridPetya, ESET, se han encontrado para explotar CVE -2024‑7344 (puntaje CVSS: 6.7), una vulnerabilidad de ejecución de código remoto en la aplicación HowYar Reloader UEFI («Reloader.efi», renombrado en el Artifact en el Artifact como «\ Efi \ Microsoft \ Bootmgfw.efi») que puede dar como resultado un arte de arranque en el arte. La variante también incluye un archivo especialmente elaborado llamado «Cloak.dat», que se puede cargar a través de reloader.efi y contiene el binario de Bootkit xored. Desde entonces, Microsoft ha revocado el antiguo y vulnerable binario como parte de su actualización del martes de parche para la actualización de enero de 2025. «Cuando el binario reloader.efi (implementado como bootmgfw.efi) se ejecuta durante el arranque, busca la presencia del archivo Cloak.dat en la partición del sistema EFI, y carga la aplicación UEFI integrada desde el archivo de una manera muy insegura, completamente insegura cualquier verificación de integridad, pasando por el arranque de UEFI», dijo Eset. Otro aspecto en el que hybridPetya y NotPetya difieren es que, a diferencia de las capacidades destructivas de este último, el artefacto recién identificado permite a los actores de amenaza reconstruir la clave de descifrado de las claves de instalación personal de la víctima. Los datos de telemetría de ESET no indican evidencia de que se use HybridPetya en la naturaleza. La compañía de ciberseguridad también señaló el reciente descubrimiento de una prueba de concepto de UEFI Petya (POC) por parte del investigador de seguridad Aleksandra «Hasherezade» Doniec, y agregó que es posible que pueda haber «alguna relación entre los dos casos». Sin embargo, no descarta la posibilidad de que HybridPetya también sea un POC. «HybridPetya ahora es al menos el cuarto ejemplo públicamente conocido de un Bootkit UEFI real o de prueba de concepto con la funcionalidad de bypass de arranque segura de UEFI, uniendo BlackLotus (explotando CVE-2022‑21894), bootkitty (explotando logofail) y el hyper-v retroceso (explotando CVE-2020-26200),» Said. «Esto muestra que las derivaciones seguras de arranque no son solo posibles: se están volviendo más comunes y atractivos tanto para los investigadores como para los atacantes».

sep 11, 2025Ravie LakshmanArtarificial Intelligence / Mobile Security Google anunció el martes que sus nuevos teléfonos Google Pixel 10 admiten la coalición para la procedencia y la autenticidad de contenido (C2PA) estándar de la caja para verificar el origen y la historia del contenido digital. Con ese fin, el soporte para las credenciales de contenido de C2PA se ha agregado a la cámara Pixel y las aplicaciones de Google Photos para Android. El movimiento, dijo Google, está diseñado para promover la transparencia de los medios digitales. Las credenciales de contenido de C2PA son un manifiesto digital firmado criptográfico y revelado de manipulación que proporciona procedencia verificable para contenido digital como imágenes, videos o archivos de audio. El tipo de metadatos, según Adobe, sirve como una «etiqueta de nutrición digital», dando información sobre el creador, cómo se hizo y si se generó utilizando inteligencia artificial (IA). «La aplicación de la cámara Pixel alcanzó el Nivel 2 de Garantía 2, la calificación de seguridad más alta actualmente definida por el programa C2PA Conformance», dijo los equipos de C2PA Security y C2PA Core. «El nivel de aseguramiento 2 para una aplicación móvil solo solo es posible en la plataforma Android». «Pixel 10 teléfonos admiten sellos de tiempo de confianza en el dispositivo, lo que garantiza que las imágenes capturadas con su aplicación de cámara nativa se puedan confiar después de que expire el certificado, incluso si fueron capturadas cuando su dispositivo estaba fuera de línea». La capacidad es posible utilizando una combinación de Google Tensor G5, chip de seguridad Titan M2 y características de seguridad respaldadas por hardware integradas en el sistema operativo Android. Google dijo que ha implementado C2PA para ser seguro, verificable y utilizable fuera de línea, asegurando así que los datos de procedencia sean confiables, el proceso no es identificable personalmente y funciona incluso cuando el dispositivo no está conectado a Internet. Esto se logra utilizando el certificado de la clave de Android para permitir que las autoridades de certificación de Google C2PA (CAS) verifiquen que se están comunicando con una genuina clave de la clave de Android de la clave de Android respaldada por hardware que incluyen el nombre del paquete y los certificados de firma asociados con la aplicación C2PA de la generación de C2PA que utilizan la solicitud de una solicitud de una aplicación de una aplicación de Generación y un registro de firma y que se registran y almacenan C2P de Keys de Keys utilizando C2PA y un Keys de Keys, reclamado de una aplicación registrada y que se registra y que se registra a C2P de Keys de Keys utilizando C2PA y que se reclaman la aplicación de Generación y un Generación de Generación de Generación y un Generación de Generación de Generación y un Generación de Generación de Generación y un Genador de Generación de Cinateo de Keys de Keys. StrongBox en el chip de seguridad Titan M2 para la resistencia a la resistencia de la tamper Anónimo, lo que respalda el hardware para certificar nuevas claves criptográficas generadas en el dispositivo sin saber quién está utilizando certificados únicos para firmar cada imagen, por lo que es «criptográficamente imposible» para desonimular el creador en el desarrollo, la autoridad de tiempo fuera de línea (TSA) dentro del componente de Tensor, el componente de Tensor, el chip de Tensor Tensor a generar criticado a la cría criticada de la cría criticada. Se presiona el obturador de la cámara «Las credenciales de contenido C2PA no son la única solución para identificar la procedencia de los medios digitales», dijo Google. «Sin embargo, son un paso tangible hacia una mayor transparencia y confianza de los medios a medida que continuamos desbloqueando más creatividad humana con IA».

Los actores de amenaza afiliados al Grupo de Ransomware Akira han seguido dirigiéndose a los dispositivos SonicWall para el acceso inicial. La firma de seguridad cibernética Rapid7 dijo que observó un aumento en las intrusiones que involucran electrodomésticos de Sonicwall durante el mes pasado, particularmente siguiendo informes sobre la actividad renovada de ransomware Akira desde finales de julio de 2025. Sonicwall posteriormente reveló la actividad de VPN SSL dirigida a sus firewalls involucrados por un año de seguridad de un año (CVE-2024-407666666, CVSss: 9.3. durante la migración y no reiniciar. «Estamos observando una mayor actividad de amenazas de los actores que intentan las credenciales de los usuarios de la fuerza bruta», señaló la compañía. «Para mitigar el riesgo, los clientes deben permitir el filtrado de Botnet para bloquear a los actores de amenaza conocidos y garantizar que las políticas de bloqueo de la cuenta estén habilitadas». Sonicwall también ha instado a los usuarios a revisar los grupos de usuarios predeterminados de LDAP SSL VPN, describiéndolo como un «punto débil crítico» si está mal configurado en el contexto de un ataque de ransomware AKIRA; esta configuración agrega automáticamente cada usuario LDAP autenticado con éxito a un grupo local predefinido, independientemente de su membresía real en un directorio activo. Si ese grupo predeterminado tiene acceso a servicios confidenciales, como SSL VPN, interfaces administrativas o zonas de red sin restricciones, entonces cualquier cuenta publicitaria comprometida, incluso una sin necesidad legítima de esos servicios, heredará instantáneamente esos permisos. Esto omite efectivamente los controles de acceso grupales de AD, lo que brinda a los atacantes una ruta directa al perímetro de la red tan pronto como obtienen credenciales válidas. Rapid7, en su alerta, dijo que también ha observado a los actores de amenaza que acceden al portal de oficina virtual alojado por los electrodomésticos SonicWall, que, en ciertas configuraciones predeterminadas, pueden facilitar el acceso público y permitir a los atacantes configurar MMFA/TOTP con cuentas válidas, suponiendo que haya una exposición de credencial previa. «El grupo Akira está utilizando una combinación de estos tres riesgos de seguridad para obtener acceso no autorizado y realizar operaciones de ransomware», dijo. Para mitigar el riesgo, se aconseja a las organizaciones que rotaran contraseñas en todas las cuentas locales de Sonicwall, eliminen las cuentas locales de Sonicwall no utilizadas o inactivas, aseguren que las políticas de MFA/TOTP estén configuradas y restrinjan el acceso de portal de oficina virtual a la red interna. La orientación de Akira de SonicWall SSL VPNS también ha sido ecológica por el Centro de Seguridad Cibernética (ACSC) australiano, que reconoció que es consciente de la pandilla de ransomware que golpean las organizaciones australianas vulnerables a través de los dispositivos. Desde su debut en marzo de 2023, Akira ha sido una amenaza persistente en el panorama de amenazas de ransomware, reclamando 967 víctimas hasta la fecha, según la información de Ransomware.Live. Según las estadísticas compartidas por Cyfirma, Akira representó 40 ataques en el mes de julio de 2025, lo que lo convierte en el tercer grupo más activo después de Qilin e Inc Ransom. De los 657 ataques de ransomware que afectan a las entidades industriales en todo el mundo marcadas en el segundo trimestre de 2025, Qilin, Akira, y Play Ransomware Families tomaron las tres primeras espacios, cada uno de los informes 101, 79 y 75 incidentes, respectivamente. Akira mantuvo «actividad sustancial con una focalización constante de los sectores de fabricación y transporte a través de sofisticados phishing e implementaciones de ransomware multiplataforma», dijo Dragos de la compañía de ciberseguridad industrial en un informe publicado el mes pasado. Las recientes infecciones por ransomware de Akira también han aprovechado las técnicas de envenenamiento de la optimización de motores de búsqueda (SEO) para administrar instaladores troyanizados para herramientas populares de gestión de TI, que luego se utilizan para soltar el cargador de malware Bumblebee. Los ataques luego utilizan Bumblebee como un conducto para distribuir el marco de emulación y emulación adversario de adaptixc2, instalar Rustdesk para el acceso remoto persistente, exfiltrado e implementar el ransomware. Según la Unidad 42 de Palo Alto Networks, la naturaleza versátil y modular de AdaptIXC2 puede permitir a los actores de amenaza ejecutar comandos, transferir archivos y realizar la exfiltración de datos en sistemas infectados. El hecho de que también sea de código abierto significa que los adversarios pueden personalizarlo para satisfacer sus necesidades. Otras campañas que propagan a AdaptIXC2, dijo la compañía de seguridad cibernética, han utilizado las llamadas de equipos de Microsoft que imitan la mesa de ayuda para engañar a los usuarios desprevenidos para que les otorguen acceso remoto a través de asistencia rápida y soltar un script de PowerShell que descifra y carga en la memoria la carga útil de ShellCode. «El Grupo de Ransomware Akira sigue un flujo de ataque estándar: obtener acceso inicial a través del componente SSLVPN, aumentar los privilegios a una cuenta elevada o una cuenta de servicio, localizar y robar archivos confidenciales de los acciones de la red o los servidores de archivos, deletear o detener copias de seguridad e implementar la cifra de ransomware en el nivel del hipervisor