Fortinet cree que un actor de amenazas patrocinado por el estado está detrás de los recientes ataques que involucran la explotación de varias vulnerabilidades de día cero que afectan el producto Cloud Services Application (CSA) de Ivanti. Durante el último mes, Ivanti informó a los clientes sobre varios días cero de CSA que se han encadenado para comprometer los sistemas de un «número limitado» de clientes. El principal defecto es CVE-2024-8190, que permite la ejecución remota de código. Sin embargo, la explotación de esta vulnerabilidad requiere privilegios elevados y los atacantes la han estado encadenando con otros errores CSA como CVE-2024-8963, CVE-2024-9379 y CVE-2024-9380 para cumplir con el requisito de autenticación. Fortinet comenzó a investigar un ataque detectado en el entorno de un cliente cuando solo se conocía públicamente la existencia de CVE-2024-8190. Según el análisis de la firma de ciberseguridad, los atacantes comprometieron los sistemas utilizando CSA de día cero y luego realizaron movimientos laterales, implementaron web shells, recopilaron información, realizaron escaneos y ataques de fuerza bruta, y abusaron del dispositivo Ivanti pirateado para enviar tráfico proxy. También se observó que los piratas informáticos intentaban implementar un rootkit en el dispositivo CSA, probablemente en un esfuerzo por mantener la persistencia incluso si el dispositivo se restablecía a la configuración de fábrica. Otro aspecto digno de mención es que el actor de amenazas parchó las vulnerabilidades de CSA que explotó, probablemente en un esfuerzo por evitar que otros piratas informáticos las explotaran y potencialmente interfirieran en su operación. Fortinet mencionó que es probable que un adversario-estado-nación esté detrás del ataque, pero no ha identificado al grupo amenazador. Sin embargo, un investigador señaló que una de las IP publicadas por la empresa de ciberseguridad como indicador de compromiso (IoC) se atribuyó anteriormente a UNC4841, un grupo de amenazas vinculado a China que a finales de 2023 fue observado explotando un producto Barracuda de día cero. Anuncio publicitario. Desplázate para seguir leyendo. De hecho, los piratas informáticos de los estados-nación chinos son conocidos por explotar los días cero de los productos Ivanti en sus operaciones. También vale la pena señalar que el nuevo informe de Fortinet menciona que parte de la actividad observada es similar a los ataques anteriores de Ivanti vinculados a China. Relacionado: Los piratas informáticos Volt Typhoon de China fueron sorprendidos explotando el día cero en servidores utilizados por ISP y MSP Relacionado: Cisco parchea el día cero de NX-OS explotado por ciberespías chinos Relacionado: Organizaciones advertidas sobre la vulnerabilidad explotada de Fortinet FortiOS URL de la publicación original: https://www .securityweek.com/ivanti-csa-zero-day-exploitation-attributed-to-state-sponsored-hackers/
Etiqueta: semanadeseguridad.com
Gryphon Healthcare y Tri-City Medical Center revelaron la semana pasada violaciones de datos separadas en las que se robó información personal de más de 500.000 personas. Gryphon, proveedor de servicios de facturación con sede en Houston, Texas, está notificando a 393,358 personas sobre un incidente descubierto el 13 de agosto de 2024, que involucró a un socio anónimo «para quien Gryphon brinda servicios de facturación médica». La violación de datos de terceros llevó a que un actor de amenazas accediera a archivos que contenían información sobre pacientes «para quienes Gryphon brinda servicios de facturación médica», señala la compañía en una carta de notificación a las personas afectadas, una copia de la cual fue enviada a la Fiscalía General de Maine. Oficina. Según Gryphon, los nombres, direcciones, fechas de nacimiento, números de Seguro Social, fechas de servicio, información de diagnóstico y seguro médico, información de tratamientos y recetas, detalles de proveedores y números de registros médicos se vieron comprometidos en el incidente. «Gryphon no tiene pruebas que sugieran que alguna información potencialmente afectada haya sido utilizada indebidamente debido a este incidente», afirma la empresa. El proveedor de servicios de facturación ofrece 12 meses de servicios gratuitos de protección contra el robo de identidad, que incluyen monitoreo de crédito, una póliza de reembolso de seguro y servicios de recuperación de robo de identidad, a todas las personas afectadas. Tri-City, un hospital público de cuidados intensivos con servicio completo con sede en Oceanside, California, notificó a la Fiscalía General de Maine que 108.149 personas se vieron afectadas por una filtración de datos que se produjo hace un año. Según el proveedor de atención médica, un ciberataque de noviembre de 2023 que interrumpió ciertos sistemas provocó la exposición de datos, y la investigación sobre el asunto determinó a finales de septiembre de 2024 que información personal como nombres y otros identificadores se vio comprometida durante el ataque. Anuncio publicitario. Desplázate para seguir leyendo. Aunque detalló los pasos de respuesta cibernética como los que se tomaron durante un incidente de ransomware, Tri-City no dijo de qué tipo de ataque cibernético fue víctima. Sin embargo, en diciembre de 2023, el grupo de ransomware Inc Ransom se atribuyó la responsabilidad del incidente y agregó Tri-City a su sitio de filtraciones basado en Tor. La organización de atención médica proporciona a las personas afectadas servicios gratuitos de protección de identidad similares a los de Gryphon. Relacionado: Organizaciones de atención médica advertidas sobre ataques de ransomware Trinity Relacionado: Tennessee Community College sufre un ataque de ransomware Relacionado: Nueva York exigirá una mayor notificación pública de violaciones de datos Relacionado: Spotify informa a los usuarios sobre la exposición de información personal URL de la publicación original: https://www.securityweek.com /gryphon-healthcare-tri-city-medical-center-revelar-violaciones-de-datos-significativas/Categoría y etiquetas: Violaciones de datos,violación de datos,atención sanitaria – Violaciones de datos,violación de datos,atención sanitaria
SecurityWeek organizará su Cumbre de Estrategias de Identidad y Confianza Cero el miércoles 9 de octubre como un evento virtual. Todas las sesiones ya están disponibles para ver en el auditorio del centro de conferencias virtual. Esta cumbre en línea se centra en ayudar a las organizaciones a mejorar sus estrategias de seguridad de identidad y confianza cero y sirve como una inmersión profunda en el mundo de la gestión de identidad digital y el papel de los principios de confianza cero y las tecnologías asociadas. Cuándo: Ya disponible Agenda bajo demanda: https://www.securitysummits.com/event/zero-trust-strategies-summit/ Dónde: Centro de conferencias en línea de SecurityWeek