¡Agárrense fuerte, amigos, porque el panorama de la ciberseguridad de la semana pasada fue una montaña rusa! Fuimos testigos de todo, desde piratas informáticos norcoreanos que ofrecían «trabajos de ensueño» para exponer un nuevo malware, hasta un giro sorprendente en la saga Apple vs. NSO Group. Incluso el mundo aparentemente mundano de los nombres de dominio y las configuraciones de la nube tuvo su cuota de drama. Profundicemos en los detalles y veamos qué lecciones podemos extraer de la semana pasada.
⚡ Amenaza de la semana
Se desmanteló la botnet Raptor Train: El gobierno de Estados Unidos anunció el desmantelamiento de la botnet Raptor Train controlada por un actor de amenazas vinculado a China conocido como Flax Typhoon. La botnet estaba compuesta por más de 260.000 dispositivos en junio de 2024, con víctimas repartidas por América del Norte, Europa, Asia, África, Oceanía y América del Sur. También atribuyó el actor de amenazas Flax Typhoon a una empresa con sede en Pekín que cotiza en bolsa conocida como Integrity Technology Group.
🔔 Noticias principales
- El nuevo malware del grupo Lazarus: Se ha observado que el grupo de ciberespionaje vinculado a Corea del Norte conocido como UNC2970 (también conocido como TEMP.Hermit) utiliza señuelos de phishing con temática laboral para dirigirse a posibles víctimas en los sectores de la energía y la aeroespacial e infectarlas con una puerta trasera no documentada previamente denominada MISTPEN. La actividad también se conoce como Operation Dream Job.
- iServer y Ghost desmantelados: En otro gran triunfo para las fuerzas de seguridad, Europol anunció el desmantelamiento de una red criminal internacional que utilizaba una plataforma de phishing para desbloquear teléfonos móviles robados o perdidos. La agencia, en colaboración con la Policía Federal Australiana (AFP), desmanteló una red de comunicaciones cifradas llamada Ghost que facilitaba el crimen organizado y grave en todo el mundo.
- APT iraní actúa como proveedor de acceso inicial: Un actor de amenazas iraní identificado como UNC1860 actúa como facilitador de acceso inicial que brinda acceso remoto a redes objetivo mediante la implementación de varias puertas traseras pasivas. Este acceso es luego aprovechado por otros grupos de piratas informáticos iraníes afiliados al Ministerio de Inteligencia y Seguridad (MOIS).
- Apple retira demanda contra NSO Group: Apple presentó una moción para desestimar «voluntariamente» la demanda que está llevando a cabo contra el proveedor israelí de software espía NSO Group, citando un panorama de riesgos cambiante que podría llevar a la exposición de información crítica de «inteligencia sobre amenazas». La demanda se presentó en noviembre de 2021.
- Los ataques de phishing explotan los encabezados HTTP: Una nueva ola de ataques de phishing está abusando de las entradas de actualización en los encabezados HTTP para enviar páginas de inicio de sesión de correo electrónico falsas que están diseñadas para recopilar las credenciales de los usuarios. Los objetivos de las campañas incluyen entidades en Corea del Sur y los EE. UU.
📰 La vuelta al mundo cibernético
- Sandvine abandona 56 países «no democráticos»: Sandvine, la empresa detrás de los middleboxes que tienen facilitado La empresa, que distribuye software espía comercial como parte de ataques muy selectivos, ha abandonado 32 países y está en proceso de cesar sus operaciones en otros 24, alegando que existen amenazas elevadas a los derechos digitales. A principios de febrero, la empresa fue incluida en la lista de entidades de Estados Unidos. «El uso indebido de la tecnología de inspección profunda de paquetes es un problema internacional que amenaza las elecciones libres y justas, los derechos humanos básicos y otras libertades digitales que consideramos inalienables», afirmó. dichoNo reveló la lista de países que abandonará como parte de la revisión.
- Dominio .mobi adquirido por $20: Investigadores de watchTowr Labs gastado Solo 20 dólares para adquirir un dominio de servidor WHOIS heredado asociado con el dominio de nivel superior (TLD) .mobi y configurar un servidor WHOIS en ese dominio. Esto llevó al descubrimiento de que más de 135.000 sistemas únicos todavía consultaban el antiguo servidor WHOIS durante un período de cinco días que finalizó el 4 de septiembre de 2024, incluidas herramientas de ciberseguridad y servidores de correo para entidades gubernamentales, militares y universitarias. La investigación también presentado que el proceso TLS/SSL para todo el TLD .mobi se había visto socavado ya que se descubrió que numerosas Autoridades de Certificación (CA) todavía usaban el servidor WHOIS «falso» para «determinar los propietarios de un dominio y dónde se deben enviar los detalles de verificación». Desde entonces, Google ha llamado para detener el uso de datos WHOIS para verificaciones de dominio TLS.
- Las configuraciones incorrectas de ServiceNow filtran datos confidenciales: Miles de empresas están exponiendo inadvertidamente secretos de sus artículos de base de conocimiento (KB) interna a través de configuraciones incorrectas de ServiceNow. AppOmni atribuido El problema se debe a «configuraciones obsoletas y controles de acceso mal configurados en las KB», lo que probablemente indica «un malentendido sistemático de los controles de acceso a la KB o posiblemente la replicación accidental de al menos los controles deficientes de una instancia a otra a través de la clonación». ServiceNow ha publicado orientación sobre cómo configurar sus instancias para evitar el acceso no autenticado a los artículos de Knowledge Base.
- Se solucionó la falla de Google Cloud Document AI: Hablando de configuraciones erróneas, los investigadores han… encontró Los agentes de amenazas podrían aprovechar las configuraciones demasiado permisivas del servicio Document AI de Google Cloud para piratear los depósitos de Cloud Storage y robar información confidencial. Vectra AI describió la vulnerabilidad como un caso de abuso de acceso transitivo.
- Microsoft planea poner fin al acceso al kernel para el software EDR: Tras las consecuencias masivas del error de actualización de CrowdStrike en julio de 2024, Microsoft destacó la «postura de seguridad mejorada y los valores predeterminados de seguridad» de Windows 11 que permiten más capacidades de seguridad a los fabricantes de software de seguridad fuera de acceso en modo kernelTambién dijo que colaborará con socios del ecosistema para lograr «una mayor confiabilidad sin sacrificar la seguridad».
🔥 Recursos y perspectivas sobre ciberseguridad
— Próximos seminarios web
- Zero Trust: Armadura anti-ransomwareÚnase a nuestro próximo seminario web con Emily Laufer de Zscaler para profundizar en el Informe sobre ransomware de 2024 y descubrir las últimas tendencias, amenazas emergentes y estrategias de confianza cero que pueden proteger su organización. No se convierta en otra estadística: ¡regístrese ahora y contraataque!
- Reinicio de SIEM: de la sobrecarga a la supervisión: ¿Está ahogado en datos? Su SIEM debería ser un salvavidas, no otro dolor de cabeza. Únase a nosotros para descubrir cómo el SIEM tradicional salió mal y cómo un enfoque moderno puede simplificar la seguridad sin sacrificar el rendimiento. Nos sumergiremos en los orígenes de SIEM, sus desafíos actuales y nuestras soluciones impulsadas por la comunidad para eliminar el ruido y potenciar su seguridad. ¡Regístrese ahora para obtener una nueva perspectiva de SIEM!
— Pregúntele al experto
- P: ¿En qué se diferencia fundamentalmente Zero Trust de la defensa perimetral tradicional y cuáles son los desafíos y ventajas clave al realizar la transición de una organización de un modelo de defensa perimetral a una arquitectura Zero Trust?
- A: Zero Trust y la defensa perimetral son dos formas de proteger los sistemas informáticos. Zero Trust es como tener varias cerraduras en las puertas Y comprobar las identificaciones en cada habitación, lo que significa que no confía en nadie y verifica constantemente a todos y todo lo que intenta acceder a cualquier cosa. Es excelente para detener a los piratas informáticos, incluso si logran colarse, y funciona bien cuando las personas trabajan desde diferentes lugares o utilizan servicios en la nube. La defensa perimetral es como tener una muralla fuerte alrededor de su castillo, que se centra en mantener a los malos fuera. Pero, si alguien la atraviesa, tiene fácil acceso a todo lo que hay dentro. Este enfoque más antiguo tiene dificultades con las amenazas actuales y las situaciones de trabajo remoto. Cambiar a Zero Trust es como actualizar su sistema de seguridad, pero lleva tiempo y dinero. Vale la pena porque proporciona una protección mucho mejor. Recuerde, no es solo una cosa, sino una forma completamente nueva de pensar en la seguridad, y puede comenzar de a poco y avanzar con el tiempo. Además, no descarte la muralla por completo, sigue siendo útil para la protección básica.
— Desenmascarador de jerga de ciberseguridad
- Malware polimórfico: Imagínese un virus escurridizo que cambia constantemente de disfraz (firma) para engañar a su antivirus. Es como un camaleón, lo que hace que sea difícil de atrapar.
- Malware metamórfico: ¡Este es aún más complicado! Es como un cambiaformas que no solo cambia de ropa, sino que transforma completamente su cuerpo. Reescribe su propio código cada vez que infecta, lo que hace que sea casi imposible que el antivirus lo reconozca.
— Consejo de la semana
Laberinto «Piensa antes de hacer clic»: Navegue por una serie de puntos de decisión basados en escenarios del mundo real, eligiendo la opción más segura para evitar trampas de phishing y otras amenazas en línea.
Conclusión
«Errar es humano; perdonar, divino». – Alexander Pope. Pero en el ámbito de la ciberseguridad, el perdón puede resultar costoso. Aprendamos de estos errores, fortalezcamos nuestras defensas y hagamos del mundo digital un lugar más seguro para todos.