Ha llegado otra vez esa época del año: ¡temporada de impuestos! Ya sea que ya haya presentado su solicitud con la esperanza de un reembolso anticipado o que aún no haya iniciado el proceso, una cosa es segura: los ciberdelincuentes seguramente utilizarán la temporada de impuestos como un medio para lograr que las víctimas revelen su información personal y financiera. Esta época del año es ventajosa para los actores malintencionados, ya que el IRS y los preparadores de impuestos son algunas de las pocas personas que realmente necesitan sus datos personales. Como resultado, los consumidores son objeto de diversas estafas que se hacen pasar por fuentes confiables como el IRS o empresas de software de impuestos DIY. Afortunadamente, cada año el IRS describe las estafas fiscales más frecuentes, como el phishing por voz, el phishing por correo electrónico y las estafas de software fiscal falso. Exploremos los detalles de estas amenazas. Entonces, ¿cómo utilizan los ciberdelincuentes el phishing de voz para hacerse pasar por el IRS? El phishing por voz, una forma de fraude telefónico criminal, utiliza tácticas de ingeniería social para obtener acceso a la información personal y financiera de las víctimas. En el caso de estafas fiscales, los delincuentes realizarán llamadas no solicitadas haciéndose pasar por el IRS y dejarán mensajes de voz solicitando una devolución de llamada inmediata. Luego, los delincuentes exigirán que la víctima pague una factura de impuestos falsa en forma de transferencia bancaria, tarjeta de débito prepaga o tarjeta de regalo. En un caso descrito por Forbes, las víctimas recibieron correos electrónicos en su bandeja de entrada que supuestamente contenían mensajes de voz del IRS. Los correos electrónicos en realidad no contenían ningún mensaje de voz, sino que dirigían a las víctimas a una URL sospechosa de SharePoint. El año pasado, se produjeron una serie de estafas de phishing de SharePoint como un intento de robar credenciales de Office 365, por lo que no sorprende que los ciberdelincuentes también estén utilizando esta técnica para acceder a los datos personales de los contribuyentes. Además de los esquemas de phishing de voz, los actores maliciosos también utilizan el correo electrónico para intentar que los consumidores proporcionen su información personal y financiera. Sólo este año, se han reportado casi 400 URL de phishing del IRS. En un esquema típico de phishing por correo electrónico, los estafadores intentan obtener información fiscal personal, como nombres de usuario y contraseñas, utilizando direcciones de correo electrónico falsificadas y logotipos robados. En muchos casos, los correos electrónicos contienen hipervínculos sospechosos que redirigen a los usuarios a un sitio falso o archivos adjuntos en PDF que pueden descargar malware o virus. Si una víctima hace clic en estos enlaces o archivos adjuntos maliciosos, puede poner en grave peligro sus datos fiscales al darles a los ladrones de identidad la oportunidad de robar su reembolso. Es más, los ciberdelincuentes también utilizan líneas de asunto como “Aviso importante del IRS” y “Aviso al contribuyente del IRS” y exigen el pago o amenazan con confiscar el reembolso de impuestos de la víctima. Los ciberdelincuentes incluso están llegando a hacerse pasar por marcas confiables como TurboTax para sus estafas. En este caso, a los preparadores de impuestos que buscan el software TurboTax en Google se les muestran anuncios de versiones pirateadas de TurboTax. Las víctimas pagarán una tarifa por el software a través de PayPal, sólo para infectar su computadora con malware después de descargar el software. Quizás se pregunte: ¿cómo encuentran las víctimas este software malicioso mediante una simple búsqueda en Google? Desafortunadamente, los estafadores han estado pagando para que sus sitios falsificados aparezcan en los resultados de búsqueda, lo que aumenta las posibilidades de que un contribuyente inocente sea víctima de su plan. El dinero es un motivador principal para muchos consumidores y los actores maliciosos están totalmente preparados para explotarlo. Muchas personas están preocupadas por cuánto podrían deber o predicen cuánto recuperarán de su reembolso de impuestos, y los estafadores aprovechan ambas emociones. Entonces, mientras cientos de contribuyentes esperan una posible declaración de impuestos, es importante que afronten la temporada de impuestos con prudencia. Consulte los siguientes consejos para evitar que los ciberdelincuentes y ladrones de identidad lo suplanten: Presente su información antes de que los ciberdelincuentes lo hagan por usted. La defensa más fácil que puede tomar contra los esquemas de la temporada de impuestos es conseguir su W-2 y presentarlo lo antes posible. Cuanto más rápido sea para presentar la solicitud, es menos probable que un ciberdelincuente obtenga sus datos. Vigile su crédito y su identidad. Controlar su informe crediticio y saber si su información personal se ha visto comprometida de alguna manera puede ayudar a prevenir el fraude fiscal. Juntos, pueden informarle si alguien ha robado su identidad o si tiene información personal en la web oscura que podría conducir al robo de identidad. Nuestro servicio de monitoreo de crédito puede monitorear los cambios en su puntaje crediticio, informe y cuentas con notificaciones y orientación oportunas para que pueda tomar medidas para abordar el robo de identidad. Nuestro servicio de monitoreo de identidad verifica la web oscura en busca de su información personal, incluido el correo electrónico, identificaciones gubernamentales, información de tarjetas de crédito y cuentas bancarias, y más, y luego proporciona alertas si sus datos se encuentran en la web oscura, con un promedio de 10 meses de anticipación. servicios. Tenga cuidado con los intentos de phishing. Está claro que el phishing es la táctica principal que los delincuentes están aprovechando en esta temporada de impuestos, por lo que es fundamental que esté atento a su bandeja de entrada. Esto significa que si recibe algún correo electrónico desconocido o remotamente sospechoso solicitando datos fiscales, verifique su legitimidad con un gerente o el departamento de seguridad antes de responder. Recuerde: el IRS no iniciará contacto con los contribuyentes por correo electrónico, mensajes de texto o canales de redes sociales para solicitar información personal o financiera. Si alguien te contacta de esa manera, ignora el mensaje. Tenga cuidado con los sitios web falsos. Los estafadores tienen herramientas extremadamente sofisticadas que ayudan a disfrazar direcciones web falsas para software de impuestos de bricolaje, como logotipos de empresas y diseños de sitios robados. Para no caer en esto, ve directamente a la fuente. Escriba la dirección de un sitio web directamente en la barra de direcciones de su navegador en lugar de seguir un enlace de un correo electrónico o una búsqueda en Internet. Si recibe algún enlace sospechoso en su correo electrónico, investigar el dominio suele ser una buena forma de saber si la fuente es legítima o no. Protégete de los mensajes fraudulentos. Los estafadores también envían enlaces a sitios fraudulentos a través de mensajes de texto, mensajes de redes sociales y correo electrónico. McAfee Scam Protection puede ayudarle a detectar si el mensaje que recibió es falso. Utiliza tecnología de inteligencia artificial que detecta automáticamente enlaces a URL fraudulentas. Si hace clic accidentalmente, no se preocupe, puede bloquear sitios riesgosos si lo hace. Limpia tu información personal en línea. Los delincuentes y estafadores tienen que encontrarlo antes de poder contactarlo. Después de todo, necesitan obtener su número de teléfono o correo electrónico de algún lugar. A veces, provienen de “buscadores de personas” y corredores de datos en línea que recopilan y venden información personal a cualquier comprador. Incluidos los delincuentes. McAfee Personal Data Cleanup puede eliminar su información personal de los sitios de intermediarios de datos que los estafadores utilizan para contactar a sus víctimas. Considere una solución de protección contra el robo de identidad. Si por alguna razón sus datos personales se ven comprometidos, asegúrese de utilizar una solución de robo de identidad como McAfee Identity Theft Protection, que permite a los usuarios adoptar un enfoque proactivo para proteger sus identidades con herramientas de recuperación y monitoreo personal y financiero para ayudar a mantener sus identidades personales y seguras. Presentamos McAfee+ Protección contra robo de identidad y privacidad para su vida digital Descargue McAfee+ ahora \x3Cimg height=»1″ width=»1″ style=»display:none» src=»https://www.facebook.com/tr?id= 766537420057144&ev=PageView&noscript=1″ />\x3C/noscript>’);
Etiqueta: malware
La amenaza del malware Anatsa continúa acechando a los usuarios de Android, demostrando una resistencia similar a amenazas infames como Joker. Anatsa, que apareció por primera vez en 2021, ha demostrado su capacidad para evolucionar, eludiendo la detección e ideando variantes más complejas. El objetivo principal del malware permanece sin cambios: infiltrarse subrepticiamente en los dispositivos Android y fugarse con el dinero que los usuarios ganan con tanto esfuerzo. En un análisis reciente realizado por Threat Fabric, la última campaña de Anatsa revela una mayor sofisticación, lo que le permite eludir las medidas de seguridad de Android y manipular aplicaciones bancarias para el robo financiero. Revelando la amenaza persistente del malware Anatsa para Android: una mirada más cercana a sus tácticas en evolución El ingenioso modus operandi de Anatsa El malware para Android normalmente opera a través de dos métodos principales: explotar los servicios de accesibilidad y descargar código malicioso después de la instalación. Google ha estado atento a la hora de abordar lo primero. Restringir los servicios de accesibilidad a aplicaciones específicas y limitar su uso a aquellas instaladas desde fuentes confiables. Sin embargo, estas medidas han resultado insuficientes para frustrar el ingenio de los desarrolladores de malware. Threat Fabric destaca que los actores maliciosos a menudo camuflan su malware dentro de aplicaciones aparentemente legítimas en Google Play, lo que justifica el uso de servicios de accesibilidad. Por ejemplo, una supuesta aplicación de limpieza del sistema puede afirmar que aprovecha los servicios de accesibilidad para la hibernación de la aplicación. El siguiente paso en el nefasto plan consiste en promocionar la aplicación a través de reseñas falsas, impulsarla al ranking Top 3 y alcanzar una base de usuarios sustancial, que a veces supera las 10,000 instalaciones antes de eliminarla de Google Play. Anatsa emplea una técnica de gotero, en la que la aplicación inicial es limpia tras la instalación. Sin embargo, una semana después, descarga clandestinamente la configuración del descargador de códigos maliciosos. Este enfoque estratégico permite que el malware eluda la detección, ya que la aplicación inicial carece de referencias explícitas a la descarga remota de código, lo que evita alarmas en los sistemas de detección. Gizchina Noticias de la semana El final: acceso, manipulación y robo financiero El objetivo final de Anatsa es activar tanto el código malicioso como el servicio de accesibilidad, permitiéndole realizar acciones sin necesidad de intervención del usuario. Esto incluye acceder a aplicaciones confidenciales, como aplicaciones bancarias, y ejecutar transacciones financieras. Threat Fabric subraya la tendencia creciente de que aplicaciones aparentemente inofensivas en Google Play se transformen en caballos de Troya, evitando las protecciones introducidas en Android 13. En Android 13, las aplicaciones de fuentes externas no pueden activar el servicio de accesibilidad hasta que se levanten las restricciones. Sin embargo, Anatsa elude esta restricción infiltrándose en los dispositivos a través de Google Play, donde dichas restricciones no se aplican. Como resultado, se recomienda a los usuarios que tengan precaución y eviten la tentación de confiar en aplicaciones desconocidas basándose únicamente en sus altas clasificaciones dentro de la tienda de aplicaciones, especialmente cuando buscan permisos de accesibilidad. Protegerse contra el malware Anatsa para Android Protegerse contra amenazas en evolución como Anatsa requiere el cumplimiento de prácticas de seguridad convencionales. Se recomienda encarecidamente a los usuarios que no confíen en aplicaciones desconocidas, incluso si ocupan las primeras posiciones en la tienda de aplicaciones. El mayor riesgo asociado con las aplicaciones que solicitan permisos de accesibilidad exige un enfoque cauteloso. Los creadores de malware continúan adaptando sus estrategias para explotar las vulnerabilidades de Android. Enfatizando la necesidad de que los usuarios permanezcan atentos y perspicaces en sus elecciones de aplicaciones. Conclusión La saga del malware Anatsa persiste y presenta un desafío continuo para los usuarios de Android. A medida que evoluciona el panorama de amenazas, es fundamental que los usuarios se mantengan informados, adopten medidas de seguridad prudentes y actúen con discreción al otorgar permisos a las aplicaciones. Al comprender las tácticas en evolución empleadas por malware como Anatsa, los usuarios pueden fortalecer sus defensas y navegar por el panorama digital con mayor resiliencia contra las ciberamenazas financieras. Descargo de responsabilidad: Es posible que algunas de las empresas de cuyos productos hablamos nos compensen, pero nuestros artículos y reseñas son siempre nuestras opiniones honestas. Para obtener más detalles, puede consultar nuestras pautas editoriales y conocer cómo utilizamos los enlaces de afiliados.
Se están entregando grandes volúmenes de malware y otros contenidos maliciosos a redes en APAC, Australia, Nueva Zelanda y en todo el mundo como resultado de un conjunto de asociaciones cibercriminales maliciosas a gran escala lideradas por el actor de amenazas en gran medida secreto pero insidioso, VexTrio. Renée Burton, jefa de inteligencia de amenazas en Infoblox y ex alta ejecutiva de la Agencia de Seguridad Nacional de EE. UU., dijo a TechRepublic que la red internacional de VexTrio incluye relaciones con ClearFake, SocGholish y más de 60 afiliados clandestinos más. Burton recomienda que la industria de la seguridad cibernética en la región se centre más en descubrir y eliminar a los actores secretos de la capa intermedia como VexTrio, en lugar de malware de punto final o amenazas de phishing, e implementar medidas protectoras del sistema de nombres de dominio para bloquear dominios maliciosos. ¿Qué es VexTrio y por qué Australia y APAC están en su punto de mira? Formado hace más de seis años, VexTrio ha sido revelado por Infoblox como uno de los mayores y más antiguos intermediarios de tráfico web malicioso del mundo dirigido a empresas y usuarios de Internet de consumo. Infoblox estima que la amenaza VexTrio habrá tenido un valor de 10 billones de dólares en 2023 (15 billones de dólares australianos), y se prevé que aumentará a 25 billones de dólares (38 billones de dólares australianos) para 2025. VexTrio actúa como un sistema de distribución de tráfico, un término extraído de servicios de tráfico web similares en el mundo del marketing. Los usuarios atraídos a través de su red de afiliados internacionales pasan a otras entidades criminales, donde pueden ser atacados con malware y phishing (Figura A). Figura A: VexTrio actúa como intermediario en una red cibercriminal internacional. La investigación de Infoblox reveló que VexTrio ha formado asociaciones estratégicas con SocGholish y ClearFake, que utilizan marcos JavaScript maliciosos, así como con más de 60 afiliados clandestinos más. SocGholish se considera una de las tres principales amenazas mundiales en la actualidad. VexTrio quiere que los usuarios de Internet de los consumidores y empresas de APAC y Australia Burton dijo que los usuarios de Internet de las empresas y consumidores de Australia y Nueva Zelanda en APAC están en riesgo porque, a diferencia de algunos actores de amenazas que tienen una tendencia a no apuntar a ciertos países o regiones, VexTrio estaba esencialmente «después de Internet, ”Incluso en APAC y Australasia. VER: Las organizaciones australianas deben mantenerse al tanto de estas tendencias de seguridad cibernética. Operando en 32 idiomas, revelado a través del uso de captura automática por parte de la red para identificar el idioma del navegador de un usuario, Burton dijo que hay un volumen de quejas provenientes de la región. Dijo que los usuarios en Japón en particular son una fuente de un gran número de quejas. «Si piensas en una de las principales formas en que VexTrio y sus afiliados obtienen sus víctimas iniciales, una de las principales formas es a través del compromiso de WordPress», dijo Burton. “Buscan en Internet sitios web que sean vulnerables a realizar diferentes tipos de ataques. No les importa dónde están”. Abriendo una ventana limitada a las operaciones del cibercrimen global La presentación parcial de VexTrio es una ventana a cómo opera el cibercrimen a nivel mundial y en APAC. Si bien los ciberdelincuentes suelen ser retratados como bandas de piratas informáticos o codificadores brillantes y solitarios, lo más frecuente es que “compren y vendan bienes y servicios como parte de una economía criminal más amplia”. «Algunos actores venden servicios de malware, y el malware como servicio permite a los compradores acceder fácilmente a la infraestructura para cometer delitos», dijo Burton. «Estos proveedores de servicios también forman asociaciones estratégicas, similares a las que hacen las empresas legítimas, para ampliar los límites de sus operaciones». Sin embargo, “tales relaciones se forjan en secreto y pueden incluir varios socios”, dijo, lo que hace que sea difícil desenredarlas y comprenderlas desde una perspectiva externa. Burton dijo que, a pesar de tener cierto conocimiento sobre VexTrio, su identidad y ubicación sigue siendo un misterio. Más cobertura de Australia ¿Cuáles son los signos comunes de un ataque VexTrio a una empresa? El método de ataque más común implementado por VexTrio y sus afiliados es un «compromiso inducido», donde los actores comprometen sitios web vulnerables de WordPress e inyectan JavaScript malicioso en sus páginas HTML. Este script normalmente contiene un TDS que redirige a las víctimas a una infraestructura maliciosa y recopila información, como su dirección IP. A menudo, Burton dijo que los usuarios de las empresas encuentran estas páginas a través de los resultados de búsqueda de Google, y los sitios web afiliados a VexTrio se encuentran en la parte superior de los resultados de búsqueda y envían a los empleados «a una madriguera de conejo». Una vez que han comprometido una máquina, y en particular a través de las extensiones del navegador Chrome, pueden enviar «cualquier cosa que quieran», incluidos correos electrónicos de phishing. Los usuarios que han sido objeto de un ataque a través de VexTrio generalmente informan haber visto muchos anuncios y ventanas emergentes y/o no poder controlar más sus navegadores después de haber sido atacados. Les pueden robar sus credenciales o información financiera. ¿Qué pueden hacer los profesionales de TI de APAC para protegerse de VexTrio? Infoblox ha pedido más acciones colectivas de la industria dirigidas a intermediarios como VexTrio en lugar de malware de destino o páginas de phishing, que tienen la capacidad de «rotar de izquierda a derecha». Dijo que ahí es donde se centra la industria y no en los sistemas de distribución de tráfico. PREMIUM: Es posible que las empresas quieran desarrollar una lista de verificación de evaluación de riesgos de seguridad. «Como industria, ya sea entre gobiernos o empresas comerciales, realmente nos centramos en el malware: hay clases sobre malware, conferencias sobre malware», dijo Burtons. “No nos centramos en la infraestructura. La mayoría de los productos funcionan en la capa de seguridad del terminal, firewall y IP”. Burton añadió que la educación había tenido éxito en casos como el compromiso del correo electrónico empresarial. Dijo que podría implementarse de manera similar para advertir a los usuarios contra amenazas típicas relacionadas con VexTrio, como decir no cuando aparecen ventanas emergentes pidiendo a los usuarios que les permitan mostrar notificaciones. Implementar los mecanismos de protección de DNS disponibles Infoblox define el DNS protector como cualquier servicio de seguridad que analiza las consultas de DNS y toma medidas para mitigar las amenazas aprovechando el protocolo y la arquitectura de DNS existentes. Puede impedir el acceso a malware, ransomware y ataques de phishing en el origen, mejorando la seguridad de la red. Burton dijo que países como Australia tenían un historial de ofrecer DNS protectores de forma gratuita, y si este esfuerzo se ampliaba o había una mayor adopción, los dominios TDS podrían bloquearse. Esto detendría las amenazas en la capa intermedia, independientemente del malware del terminal o de la página de phishing. Recomendó que los profesionales de TI con sede en APAC utilicen el software DNS protector que está disponible para uso comercial para controlar las amenazas a nivel de DNS, ya sea que provengan de sus gobiernos locales, proveedores comerciales o «desarrollando el suyo propio».
Imagen: StackCommerce TL;DR: Proteja su computadora de virus comunes y otras formas de malware, incluidos ransomware y rootkits, con ESET NOD32 Antivirus Edición 2024, a la venta por solo $24,99 hasta el 14 de enero. El cibercrimen ha sido durante mucho tiempo un problema para las empresas. Sin embargo, ahora que los piratas informáticos tienen acceso a la inteligencia artificial y la tecnología de aprendizaje automático, los analistas de seguridad esperan que la tasa de crecimiento aumente exponencialmente. ¿Están los ordenadores de su empresa adecuadamente protegidos para el nuevo año? De lo contrario, considere actualizar a ESET NOD32 Antivirus Edición 2024, que se ofrece a un precio con descuento hasta el 14 de enero. ESET NOD32 Antivirus es un software galardonado que fue diseñado desde cero para proteger a los usuarios del malware sin afectar el rendimiento. Funciona muy bien para proteger su sistema mientras juega, transmite películas o realiza presentaciones en línea. Y dado que el software se desarrolló teniendo en cuenta la funcionalidad, su PC no sufrirá ninguna ralentización por motivos de seguridad. Se trata de una protección de múltiples capas de la que nadie debería prescindir. No sólo defiende su computadora de virus sino también de ransomware, spyware, rootkits y gusanos. También tiene una ingeniosa función antiphishing que evita que los sitios web fraudulentos accedan ilegalmente a su información personal, una característica importante para cualquiera que no quiera que le roben su identidad. ESET NOD32 Antivirus se puede instalar en cualquier PC con Windows o Mac compatible. Su compra le da derecho a utilizar el software durante un año, puede acceder a su cuenta a través de su computadora de escritorio o dispositivo móvil y todas las actualizaciones están incluidas sin cargo adicional. Y funciona muy bien, razón por la cual PCMag le otorgó una impresionante calificación de 4 sobre 5 estrellas en su revisión. Los riesgos acechan prácticamente en todos los rincones de la web. Son tan comunes que no tiene ningún sentido hacer funcionar un ordenador de empresa sin algún tipo de protección. Por eso, si desea preservar su seguridad sin obstaculizar el rendimiento, ESET NOD32 Antivirus Edición 2024 puede ser su mejor opción. Obtenga ESET NOD32 Antivirus Edición 2024 por solo $ 24,99 (regular: $ 39,99) hasta el 14 de enero a las 11:59 p. m., hora del Pacífico. Los precios y la disponibilidad están sujetos a cambios.
Cualquier empresa que sea estratégica podría ser blanco de acciones del mismo tipo que este ciberataque. Siga estos consejos para mitigar el riesgo de su empresa ante esta amenaza de ciberseguridad. Mandiant, una empresa de ciberseguridad propiedad de Google, ha revelado los detalles de un ciberataque de 2022 dirigido por el actor de amenazas ruso Sandworm. El actor de amenazas comprometió una organización ucraniana de infraestructura crítica para manipular su entorno tecnológico operativo, lo que provocó un corte de energía que coincidió con ataques masivos con misiles. Luego, Sandworm intentó causar más interrupciones y eliminar toda evidencia de su funcionamiento dos días después implementando y ejecutando una variante del malware CADDYWIPER. Este ciberataque es un ejemplo sorprendente de la evolución de los objetivos OT durante tiempos de guerra. Cualquier empresa que sea estratégica para un atacante podría ser objetivo del mismo tipo de acciones. Saltar a: Cronología de este ataque de ciberseguridad Todo comenzó alrededor de junio de 2022, cuando Sandworm obtuvo acceso al entorno de TI de una organización de infraestructura crítica ucraniana. El actor de amenazas implementó un conocido webshell, Neo-reGeorg, en un servidor de Internet de la víctima. Aproximadamente un mes después, el grupo implementó GOGETTER, un conocido software de creación de túneles personalizado utilizado anteriormente por el grupo. El malware representaba las comunicaciones entre el sistema objetivo y el servidor de comando y control del atacante y se volvía persistente en caso de que se reiniciara el servidor. Luego, el grupo de amenazas accedió al entorno OT «a través de un hipervisor que albergaba una instancia de gestión de control de supervisión y adquisición de datos (SCADA) para el entorno de la subestación de la víctima», según los investigadores de Mandiant, quienes afirmaron que el atacante potencialmente tuvo acceso al sistema SCADA durante hasta a tres meses. El 10 de octubre de 2022, el actor de amenazas ejecutó repentinamente comandos MicroSCADA en el sistema. La acción se realizó aprovechando un archivo ISO, un CD-ROM virtual que contenía dos scripts y un archivo de texto. El sistema fue configurado para permitir que los CD-ROM insertados se inicien automáticamente cuando se insertan. Esos archivos se utilizaron para ejecutar un binario MicroSCADA nativo dentro del sistema, scilc.exe (Figura A). Figura A Cadena de ejecución en el entorno SCADA del objetivo. Imagen: Mandiant El archivo legítimo scilc.exe del paquete de software MicroSCADA permite la ejecución de comandos escritos en el lenguaje de implementación de control de supervisión, que generalmente son declaraciones basadas en texto. Aunque los investigadores de Mandiant no pudieron identificar los comandos SCIL ejecutados por Sandoworm, creen que los comandos probablemente fueron emitidos para abrir disyuntores en los entornos de la subestación de las víctimas, apagando así la subestación de la víctima. Cobertura de seguridad de lectura obligada Según Mandiant, el ataque provocó un corte de energía no programado. Dos días después de este evento, el actor de amenazas instaló una nueva variante del malware CADDYWIPER en el entorno del objetivo para causar más interrupciones y potencialmente eliminar artefactos forenses que podrían conducir al descubrimiento de la operación. CADDYWIPER está limpiando software que Sandworm utilizó anteriormente contra objetivos ucranianos y que se observó en operaciones disruptivas en múltiples intrusiones. En el ataque reportado, el limpiador no alcanzó el hipervisor de la máquina virtual SCADA que estaba comprometida, lo cual es inusual, según Mandiant. Los investigadores de seguridad concluyen que esta falta de eliminación de pruebas «podría deberse a una falta de coordinación entre los diferentes individuos o subequipos operativos involucrados en el ataque». VER: Tendencias de ciberseguridad de Google Cloud a tener en cuenta en 2024 (TechRepublic) ¿Quién es Sandworm? Sandworm es un actor de amenaza destructiva que ha sido atribuido a la Dirección Principal de Inteligencia del Estado Mayor de las Fuerzas Armadas de Rusia, Unidad Militar 74455. El grupo ha estado activo desde al menos 2009. Seis oficiales de la Unidad 74455 asociados con Sandworm fueron acusados en 2020 de varias operaciones: ataques contra empresas eléctricas y organizaciones gubernamentales ucranianas; los objetivos de la campaña presidencial francesa de 2017, el ataque del Destructor Olímpico de 2018 contra los Juegos Olímpicos, la operación de 2018 contra la Organización para la Prohibición de Armas Químicas y los ataques contra Georgia en 2018 y 2019. Sandworm expone las capacidades cibernéticas ofensivas orientadas a OT de Rusia Sandworm El último ataque, además de los ataques anteriores originados en Rusia, como los incidentes de Industroyer, que también apuntaron a OT, muestran los esfuerzos de Rusia para optimizar las capacidades de ataque de OT a través de funciones de implementación simplificadas, según Mandiant. Los investigadores mencionaron “una inversión continua en capacidades cibernéticas ofensivas orientadas a OT y un enfoque general para atacar los sistemas de TI” (Figura B). Figura B Actividad histórica del nexo entre Rusia y el impacto en OT. Imagen: Mandiant Un cambio significativo en las técnicas utilizadas por Sandworm es el uso del binario nativo Living Off The Land, también conocido como LotLBin, que ahora utilizan tanto para entornos OT como para entornos TI habituales. Este cambio probablemente disminuyó los recursos necesarios para los ataques de Sandworms y al mismo tiempo dificultó que los defensores detectaran la actividad fraudulenta. El momento de este ataque de Sandworm también es intrigante. Como reveló Mandiant, los atacantes potencialmente desarrollaron la capacidad disruptiva tres semanas antes del incidente de OT, pero es posible que hayan estado esperando un momento específico para desplegar la capacidad. «La eventual ejecución del ataque coincidió con el inicio de una serie de ataques coordinados con misiles de varios días de duración contra infraestructura crítica en varias ciudades ucranianas, incluida la ciudad en la que se encontraba la víctima», escribe Mandiant. Cómo protegerse de esta amenaza de ciberseguridad Los administradores de seguridad o los profesionales de TI deben seguir estos consejos para mitigar el riesgo de esta amenaza de ciberseguridad. Harden MicroSCADA y otros hosts de gestión SCADA. Estos sistemas deben estar actualizados, parcheados y configurados para requerir autenticación y restringir el acceso solo a los usuarios obligatorios de los sistemas. Implementar la segmentación de la red entre los sistemas SCADA y el resto de la red de la organización. Agregar archivos de registro a un servidor central y analizarlos cuidadosamente y constantemente para detectar posibles usos fraudulentos o alteraciones de los sistemas SCADA. Monitorear y analizar cualquier transferencia de archivos relacionados con los sistemas SCADA. Es necesario investigar cualquier cambio sospechoso en la configuración o los datos de SCADA. Realizar auditorías periódicas de seguridad de los sistemas SCADA para identificar posibles vulnerabilidades o malas configuraciones que puedan afectar la seguridad de los sistemas. Realice copias de seguridad periódicas para facilitar la recuperación en caso de algún incidente de seguridad o ciberataque a los sistemas SCADA. Divulgación: trabajo para Trend Micro, pero las opiniones expresadas en este artículo son mías.
Un informe de noviembre de Google Cloud detalla posibles tácticas de malware de los estados-nación en 2024 y nuevos ángulos de los ciberataques. ¿Cómo será la ciberseguridad en 2024? El Pronóstico de ciberseguridad global de Google Cloud encontró que la IA generativa puede ayudar a los atacantes y defensores e instó al personal de seguridad a estar atento a los ataques respaldados por estados nacionales y más. Entre los contribuyentes al informe se encuentran varios líderes de seguridad de Google Cloud y expertos en seguridad de Mandiant Intelligence, Mandiant Consulting, Chronicle Security Operations, la Oficina del CISO de Google Cloud y VirusTotal. Saltar a: Cómo la IA generativa puede afectar la ciberseguridad en 2024 Los actores de amenazas utilizarán IA generativa y grandes modelos de lenguaje en phishing y otras estafas de ingeniería social, predijo Google Cloud. Debido a que la IA generativa puede crear contenido que suene natural, los empleados pueden tener dificultades para identificar correos electrónicos fraudulentos a través de una mala gramática o llamadas no deseadas a través de voces que suenan robóticas. Los atacantes podrían utilizar IA generativa para crear noticias falsas o contenido falso, advirtió Google Cloud. Más cobertura de seguridad en la nube Los LLM y la IA generativa “se ofrecerán cada vez más en foros clandestinos como un servicio pago y se utilizarán para diversos fines, como campañas de phishing y difusión de desinformación”, escribió Google Cloud. Por otro lado, los defensores pueden utilizar la IA generativa en inteligencia sobre amenazas y análisis de datos. La IA generativa podría permitir a los defensores actuar a mayores velocidades y escalas, incluso cuando digieren grandes cantidades de datos. «La IA ya está brindando una enorme ventaja a nuestros ciberdefensores, permitiéndoles mejorar las capacidades, reducir el trabajo y protegerse mejor contra las amenazas», dijo Phil Venables, director de seguridad de la información de Google Cloud, en un correo electrónico a TechRepublic. Los estados-nación pueden utilizar phishing o malware de limpieza El informe señaló que los actores de los estados-nación pueden lanzar ataques cibernéticos contra el gobierno de EE. UU. a medida que se acercan las elecciones presidenciales de 2024 en EE. UU. El Spear phishing, en particular, puede utilizarse para atacar sistemas electorales, candidatos o votantes. El hacktivismo, o actores de amenazas motivados políticamente y no asociados con un estado-nación en particular, está resurgiendo, dijo Google Cloud. El malware Wiper, que está diseñado para borrar la memoria de una computadora, puede volverse más común. Ha sido visto desplegado por grupos de actores de amenazas rusos que atacan a Ucrania, dijo Google Cloud. La guerra en Ucrania ha demostrado que los atacantes patrocinados por el Estado podrían atacar tecnologías espaciales para perturbar a los adversarios o realizar espionaje. Los grupos de espionaje en 2024 pueden crear “botnets durmientes”, que son botnets colocadas en el Internet de las cosas, en oficinas o en dispositivos al final de su vida útil para escalar temporalmente los ataques. La naturaleza temporal de estas botnets puede hacer que sea particularmente difícil rastrearlas. Los tipos de ciberataques más antiguos siguen siendo amenazas. Algunas de las tendencias destacadas por Google Cloud muestran que los tipos de ciberataques más conocidos todavía deberían estar en el radar de los equipos de seguridad. Las vulnerabilidades de día cero pueden seguir aumentando. Los atacantes de estados-nación y los grupos de actores de amenazas pueden adoptar los días cero porque esas vulnerabilidades les dan a los atacantes acceso persistente a un entorno. Los correos electrónicos de phishing y el malware ahora son relativamente fáciles de detectar para los equipos de seguridad y las soluciones automatizadas, pero las vulnerabilidades de día cero siguen siendo relativamente efectivas, según el informe. La extorsión, otra técnica de ciberataque muy conocida, se estancó en 2022, pero se puede esperar que vuelva a crecer en 2024. Los actores de amenazas hacen publicidad de datos robados y reportan ingresos por extorsión que indican un crecimiento. VER: El malware SecuriDropper puede sortear la configuración restringida de Android 13 para descargar aplicaciones ilegítimas (TechRepublic) Algunas técnicas de amenazas más antiguas se están volviendo lo suficientemente populares como para estar en el radar de Google Cloud. Por ejemplo, recientemente se ha vuelto a ver una técnica anti-máquina virtual de 2012. Y un ataque documentado por primera vez en 2013 que utiliza funciones SystemFunctionXXX no documentadas en lugar de funciones de criptografía en una API de Windows documentada se ha vuelto popular nuevamente. Otras tendencias y predicciones de ciberseguridad en la nube, dispositivos móviles y SecOps El vicepresidente y gerente general de Google Cloud, Sunil Potti, dijo en un correo electrónico a TechRepublic: «En este momento, vemos organizaciones ejecutando sus datos en una combinación de entornos multinube, locales e híbridos, y mientras No es realista esperar que estas organizaciones alojen sus activos únicamente en un solo lugar, lo que hace que las operaciones de seguridad integrales y unificadas y la gestión general de riesgos sean particularmente desafiantes”. En entornos híbridos y multinube, es posible que las empresas deban estar atentas a configuraciones erróneas y problemas de identidad que permitan a los actores de amenazas moverse lateralmente a través de diferentes entornos de nube, dijo Google Cloud. Muchos actores de amenazas, incluidos los actores de amenazas de estados-nación, pueden utilizar servicios sin servidor en 2024. Los servicios sin servidor les brindan mayor escalabilidad, flexibilidad y automatización. Google Cloud ha visto un creciente interés entre los atacantes en los ataques a la cadena de suministro alojados en administradores de paquetes como NPM (Node.js), PyPI (Python) y crates.io (Rust). Es probable que este tipo de ciberataque aumente porque su implementación cuesta poco y puede tener un impacto importante. Es probable que el cibercrimen móvil crezca en 2024 a medida que los estafadores utilicen tácticas de ingeniería social novedosas y probadas para obtener acceso a los teléfonos de sus objetivos, según el informe. Finalmente, Google Cloud predijo que SecOps se consolidará cada vez más en 2024. Esta hoja de ruta se puede utilizar para impulsar estrategias de ciberseguridad y compras al intentar adelantarse a lo que pueda venir en 2024.
Los usuarios de teléfonos inteligentes y tabletas con Android se enfrentan a una amenaza nueva y preocupante en forma de malware. Este software malicioso se ha infiltrado en varias aplicaciones y juegos de utilidad general que estuvieron disponibles recientemente en Google Play Store. Si bien estas aplicaciones pueden parecer legítimas a primera vista, esconden un secreto malicioso que podría comprometer su dispositivo. Una vez abierto, el malware oculto toma el control de su dispositivo. ¡Lo que es aún más alarmante es que estas aplicaciones ya se han descargado más de medio millón de veces! Nueva amenaza de malware apunta a usuarios de Android La amenaza fue descubierta y reportada por la reconocida agencia de seguridad Dr.Web. Han identificado una lista de aplicaciones infectadas con este software malicioso, algunas de las cuales son bastante populares y cuentan con miles de instalaciones. Entre las aplicaciones infectadas se encuentran títulos como Agent Shooter, Rainbow Stretch, Rubber Punch 3D y Super Skibydi Killer, junto con varias aplicaciones de personalización y herramientas financieras. Pero, ¿cuál es el peligro real que se esconde detrás de estas aplicaciones aparentemente inocentes? El malware integrado en estas aplicaciones se especializa en publicidad intrusiva. Actúa como un caballo de Troya que muestra anuncios agresivos y genera ingresos para los piratas informáticos. Incluso cuando cierras la aplicación infectada, el malware continúa bombardeándote con anuncios no deseados. Para empeorar las cosas, el software malicioso emplea técnicas para ocultar su presencia. Manipula los iconos de las aplicaciones infectadas, reemplazándolos a veces con imágenes transparentes y nombres vacíos. Esto se hace para que a los usuarios les resulte difícil detectar y eliminar las aplicaciones infectadas. En algunos casos, estas aplicaciones incluso reemplazan sus íconos con los de aplicaciones populares y confiables como Google Chrome. La amenaza no termina ahí. Algunas de estas aplicaciones infectadas también contienen el famoso malware Joker, que es capaz de engañar a los usuarios para que se suscriban involuntariamente a servicios premium. Esto significa que su información financiera y su privacidad podrían estar en riesgo si no actúa con rapidez. Gizchina Noticias de la semana Elimina estas aplicaciones de tu teléfono inteligente Android ahora Agent Shooter Rainbow Stretch Rubber Punch 3D Super Skibydi Killer GazEndow Economic MoneyMentor Programa TKF FinancialFusion Financial Vault Calculadora de inversiones Laberinto eterno Joyas de la jungla Secretos estelares Frutas de fuego Frontera de vaqueros Elixir encantado Beauty Wallpeper HD Love Emoji Messenger Entonces, ¿cuál es el resultado final? Si tiene alguna de las aplicaciones enumeradas anteriormente en su dispositivo Android, es fundamental eliminarla de inmediato para salvaguardar sus datos y privacidad. Este malware presenta una grave amenaza para la seguridad de su dispositivo y cuanto más lo demore, más vulnerable se volverá. Cómo mantenerse a salvo de este malware Los usuarios de Android deben permanecer atentos y tener cuidado al descargar aplicaciones, incluso de fuentes confiables como Google Play Store. Mientras Google se esfuerza continuamente por mejorar las medidas de seguridad, los ciberdelincuentes se vuelven cada vez más sofisticados en sus tácticas. Para proteger su dispositivo, siga estos pasos esenciales: Actualice periódicamente sus aplicaciones y su sistema operativo: mantener sus aplicaciones y su sistema operativo actualizados garantiza que tendrá los últimos parches de seguridad y protección contra amenazas emergentes. Descargue de fuentes confiables: opte por tiendas de aplicaciones confiables como Google Play y evite descargar aplicaciones de fuentes de terceros, que a menudo están plagadas de malware. Instale un software antivirus confiable: considere instalar un programa antivirus confiable para escanear y proteger su dispositivo contra software malicioso. Lea las reseñas de los usuarios y verifique los permisos: antes de descargar una aplicación, lea las reseñas de los usuarios y verifique los permisos que solicita. Tenga cuidado si una aplicación solicita más permisos de los que necesita. Tenga cuidado con los anuncios no deseados: si encuentra anuncios intrusivos y frecuentes en su dispositivo, investigue las aplicaciones responsables y desinstale las sospechosas. Si sigue estas pautas, podrá proteger su dispositivo Android de la creciente amenaza del malware y garantizar que su información personal permanezca segura. No espere: tome medidas hoy para salvaguardar su vida digital. La seguridad de tu dispositivo y tu tranquilidad dependen de ello.