Descubra historias sobre las últimas tácticas, técnicas y procedimientos de los actores de amenazas de los expertos en amenazas de Cybersixgill cada mes. Cada historia le brinda detalles sobre amenazas clandestinas emergentes, los actores de amenazas involucrados y cómo puede tomar medidas para mitigar los riesgos. Conozca las principales vulnerabilidades y revise las últimas tendencias de ransomware y malware de la web profunda y oscura.
Las credenciales robadas de ChatGPT inundan los mercados de la dark web
Durante el año pasado, se anunciaron 100 000 credenciales robadas para ChatGPT en sitios clandestinos, que se vendieron por tan solo $ 5 en mercados de la web oscura, además de ofrecerse de forma gratuita.
Las credenciales de ChatGPT robadas incluyen nombres de usuario, contraseñas y otra información personal asociada con las cuentas. Esto es problemático porque las cuentas de ChatGPT pueden almacenar información confidencial de consultas, incluidos datos confidenciales y propiedad intelectual. Específicamente, las empresas incorporan cada vez más ChatGPT en los flujos de trabajo diarios, lo que significa que los empleados pueden divulgar contenido clasificado, incluido el código propietario. Los analistas de amenazas de Cybersixgill detectaron anuncios de credenciales de ChatGPT robadas en mercados populares de la web oscura, además de un anuncio de un chatbot de IA supuestamente capaz de generar contenido malicioso.
¿Qué deben hacer las empresas para proteger a los empleados y los activos críticos de los riesgos no deseados que plantea ChatGPT?
Los hacktivistas prorrusos atacan las plataformas de Microsoft y amenazan el sistema bancario europeo
Un grupo de hacktivistas prorrusos muy activo desconectó varias plataformas de Microsoft y exigió 1 millón de dólares para detener los ataques, haciéndose eco de la estrategia del colectivo en un reciente incidente de denegación de servicio distribuido (DDoS) contra Scandinavian Airlines. Si bien Microsoft inicialmente proporcionó explicaciones evasivas de las interrupciones, luego confirmó que los portales web de Azure, Outlook y OneDrive estaban inaccesibles debido a los ataques DDoS de Capa 72 atribuidos al grupo hacktivista. Nuestros expertos en amenazas observaron que el grupo se jactaba del ataque de Microsoft en la clandestinidad, además de que un aliado anunciaba una nueva coalición prorrusa que planea atacar el sistema bancario europeo.
Si bien los ataques DDoS se han intensificado desde que Rusia invadió Ucrania en febrero de 2022, el cambio reciente de los hacktivistas al chantaje indica una dimensión financiera emergente de los incidentes motivados políticamente. Con estos riesgos en mente, ¿qué deben hacer las organizaciones para prepararse para más campañas DDoS lanzadas por bandas prorrusas y la posibilidad de acompañar demandas de chantaje?
Nuevo malware roba datos de navegadores y administradores de contraseñas
Los anuncios de un nuevo tipo de ladrón de información están apareciendo en los foros de ciberdelincuencia en idioma ruso. Si bien el ladrón debutó en abril de 2023, las ventas aumentaron en junio, lo que podría indicar un aumento en los ataques que utilizan el malware. El malware supuestamente apunta a cerca de 200 navegadores, extensiones y administradores de contraseñas, entre otras aplicaciones. Nuestro equipo de investigación de amenazas observó a los desarrolladores del malware promocionando sus características en la clandestinidad, además de que los actores de amenazas cuestionaron las capacidades del ladrón.
Una vez ejecutado, el ladrón recopila datos relacionados con el sistema operativo y el hardware, y envía una captura de pantalla a los servidores de comando y control3 (C2) de los atacantes. Luego, el ladrón apunta a información específica almacenada en varias aplicaciones, incluidos los navegadores web. El malware se puede alquilar por $ 150 / mes o $ 390 por cuatro meses, con anuncios publicados en foros populares de ciberdelincuencia que recopila Cybersixgill.
Como ilustra la aparición de un nuevo malware ladrón, las herramientas de robo de datos siguen siendo populares en la clandestinidad. Estas herramientas extraen información confidencial, incluidas las credenciales y otros datos valiosos. Con poderosos ladrones fáciles de usar fácilmente disponibles en la clandestinidad, ¿qué deben hacer las organizaciones para protegerse contra tales amenazas?
Nueva vulnerabilidad crítica de VMware explotada en la naturaleza
VMware lanzó recientemente un aviso relacionado con una vulnerabilidad crítica de ejecución remota de código (RCE) (CVE-2023-20877), advirtiendo que los actores de amenazas ya están explotando la falla en los ataques. Si bien se lanzó una actualización para abordar la vulnerabilidad de inyección de comandos, dos instancias sin parches de Aria Operations for Networks3 de VMware siguen siendo altamente vulnerables. En última instancia, los actores de amenazas podrían aprovechar CVE-2023-20887 para acceder a las redes e inyectar comandos maliciosos en Aria Operations for Networks, lo que podría provocar el robo de datos, la corrupción de datos o incluso el compromiso total del sistema.
A partir del 3 de julio de 2023, el módulo DVE de Cybersixgill asignó a CVE-2023-20887 una puntuación severa (9,23), lo que indica la amenaza que representa la falla para los sistemas sin parches. Esta puntuación es dinámica y puede seguir aumentando, especialmente dada la existencia de una prueba de concepto (PoC) disponible públicamente para el CVE publicada por un cazador de amenazas en GitHub. Según los datos recopilados por Cybersixgill Investigative Portal, CVE-2023-20887 está relacionado con al menos una amenaza persistente avanzada (APT). Esto significa que es probable que la vulnerabilidad sea explotada activamente por actores de amenazas sofisticados que pueden eludir las medidas de seguridad tradicionales.
Nuestros expertos en amenazas observaron un PoC para esta vulnerabilidad que circula clandestinamente, y los grupos de ransomware pueden ver esta vulnerabilidad como una gran oportunidad para lanzar ataques y exigir pagos en esquemas de doble extorsión. A la luz de esto, ¿qué deben hacer las corporaciones que usan VMWare para frustrar las acciones de los ciberdelincuentes?
Suscríbete a Cybersixgill’s Más allá de los titulares revista mensual y reciba información detallada cada mes de nuestro equipo de investigación de amenazas sobre las últimas amenazas y los TTP de los actores de amenazas en la web oscura y profunda. Para obtener las últimas actualizaciones, haga clic aquí.