Resumen de ciberseguridad de THN: principales amenazas y tendencias (30 de septiembre – 6 de octubre)


07 de octubre de 2024Ravie LakshmananCiberseguridad / Resumen semanal

¿Has oído hablar alguna vez de una estafa de “carnicería de cerdos”? ¿O un ataque DDoS tan grande que podría derretir tu cerebro? El resumen de ciberseguridad de esta semana lo tiene todo: enfrentamientos gubernamentales, malware furtivo e incluso una pizca de travesuras en las tiendas de aplicaciones.

¡Consigue la primicia antes de que sea demasiado tarde!

⚡ Amenaza de la semana

Doble problema: Evil Corp y LockBit Fall: Un consorcio de organismos internacionales encargados de hacer cumplir la ley tomó medidas para arrestar a cuatro personas y derribar nueve servidores vinculados a la operación de ransomware LockBit (también conocido como Bitwise Spider). Al mismo tiempo, las autoridades descubrieron a un ciudadano ruso llamado Aleksandr Ryzhenkov, que era uno de los miembros de alto rango del grupo de cibercrimen Evil Corp y también afiliado a LockBit. Un total de 16 personas que formaban parte de Evil Corp han sido sancionadas por el Reino Unido

🔔 Noticias destacadas

  • El Departamento de Justicia y Microsoft se apoderan de más de 100 dominios de piratas informáticos rusos: El Departamento de Justicia de Estados Unidos (DoJ) y Microsoft anunciaron la incautación de 107 dominios de Internet utilizados por un actor de amenazas patrocinado por el estado ruso llamado COLDRIVER para orquestar campañas de recolección de credenciales dirigidas a ONG y grupos de expertos que apoyan a empleados gubernamentales y funcionarios militares y de inteligencia.
  • Ataque DDoS de 3,8 Tbps que bate récords: Cloudflare reveló que frustró un ataque récord de denegación de servicio distribuido (DDoS) que alcanzó un máximo de 3,8 terabits por segundo (Tbps) y duró 65 segundos. El ataque es parte de una ola más amplia de más de cien ataques DDoS hipervolumétricos L3/4 que han estado en curso desde principios de septiembre de 2024 y tienen como objetivo las industrias de servicios financieros, Internet y telecomunicaciones. La actividad no se ha atribuido a ningún actor de amenaza específico.
  • Hackers norcoreanos implementan el nuevo troyano VeilShell: Se ha atribuido a un actor de amenazas vinculado a Corea del Norte llamado APT37 estar detrás de una campaña sigilosa dirigida a Camboya y probablemente a otros países del sudeste asiático que ofrece una puerta trasera y un troyano de acceso remoto (RAT) previamente indocumentados llamado VeilShell. Se sospecha que el malware se distribuye a través de correos electrónicos de phishing.
  • Aplicaciones comerciales falsas en las tiendas Apple y Google: Una campaña de fraude a gran escala aprovechó aplicaciones comerciales falsas publicadas en Apple App Store y Google Play Store, así como sitios de phishing, para defraudar a las víctimas como parte de lo que se llama una estafa de matanza de cerdos. Las aplicaciones ya no están disponibles para descargar. Se ha descubierto que la campaña está dirigida a usuarios de Asia-Pacífico, Europa, Medio Oriente y África. En un desarrollo relacionado, Gizmodo reportado que los usuarios de Truth Social han perdido cientos de miles de dólares en estafas de matanza de cerdos.
  • Más de 700.000 enrutadores DrayTek vulnerables a ataques remotos: Se han descubierto hasta 14 fallas de seguridad, denominadas DRAY:BREAK, en enrutadores residenciales y empresariales fabricados por DrayTek que podrían explotarse para controlar dispositivos vulnerables. Las vulnerabilidades se han solucionado tras una divulgación responsable.

📰 Alrededor del mundo cibernético

  • Salt Typhoon violó las redes de AT&T, Verizon y Lumen: Un actor-estado-nación chino conocido como Salt Typhoon penetró en las redes de proveedores de banda ancha estadounidenses, incluidos AT&T, Verizon y Lumen, y probablemente accedió a “información de los sistemas que el gobierno federal utiliza para solicitudes de escuchas telefónicas de redes autorizadas por los tribunales”, informó The Wall Street Journal. reportado. “Los piratas informáticos parecen haberse involucrado en una vasta colección de tráfico de Internet de proveedores de servicios de Internet que cuentan entre sus clientes a empresas grandes y pequeñas, y a millones de estadounidenses”.
  • El Reino Unido y los EE. UU. advierten sobre la actividad iraní de Spear-Phishing: Los actores cibernéticos que trabajan en nombre del Cuerpo de la Guardia Revolucionaria Islámica (CGRI) del gobierno iraní han dirigido personas con vínculos con asuntos iraníes y de Medio Oriente obtengan acceso no autorizado a sus cuentas personales y comerciales utilizando técnicas de ingeniería social, ya sea a través de correo electrónico o plataformas de mensajería. “Los actores a menudo intentan establecer una buena relación antes de solicitar a las víctimas que accedan a un documento a través de un hipervínculo, que redirige a las víctimas a una página de inicio de sesión de cuenta de correo electrónico falsa con el fin de capturar credenciales”, dijeron las agencias. dicho en un aviso. “Se puede solicitar a las víctimas que ingresen códigos de autenticación de dos factores, que los proporcionen a través de una aplicación de mensajería o que interactúen con notificaciones telefónicas para permitir el acceso a los ciberactores”.
  • Crisis de cartera de pedidos de NVD del NIST: más de 18 000 CVE sin analizar: Un nuevo análisis ha revelado que el Instituto Nacional de Estándares y Tecnología (NIST), el organismo de estándares del gobierno de EE. UU., todavía tiene un largo camino por recorrer en términos de analizar los CVE recientemente publicados. Al 21 de septiembre de 2024, el 72,4% de los CVE (18.358 CVE) en el NVD aún no se han analizado, VulnCheck dichoy agrega que “el 46,7% de las vulnerabilidades explotadas conocidas (KEV) siguen sin analizarse por el NVD (en comparación con el 50,8% al 19 de mayo de 2024)”. Vale la pena señalar que se han agregado un total de 25,357 nuevas vulnerabilidades a NVD desde el 12 de febrero de 2024, cuando NIST redujo su procesamiento y enriquecimiento de nuevas vulnerabilidades.
  • Principales fallas de RPKI descubiertas en la defensa criptográfica de BGP: Un grupo de investigadores alemanes ha encontró que las implementaciones actuales de infraestructura de clave pública de recursos (RPKI), que se introdujo como una forma de introducir una capa criptográfica en el Border Gateway Protocol (BGP), “carecen de resiliencia a nivel de producción y están plagados de vulnerabilidades de software, especificaciones inconsistentes y desafíos operativos”. Estas vulnerabilidades van desde denegación de servicio y omisión de autenticación hasta envenenamiento de caché y ejecución remota de código.
  • El cambio en la política de datos de Telegram empuja a los ciberdelincuentes a utilizar aplicaciones alternativas: La reciente decisión de Telegram de proporcionar las direcciones IP y los números de teléfono de los usuarios a las autoridades en respuesta a solicitudes legales válidas está incitando a los grupos de delitos cibernéticos a buscar otras alternativas a la aplicación de mensajería, incluidas Jabber, Tox, Matrix, Signal y Session. La banda de ransomware Bl00dy ha declarado que “abandonará Telegram”, mientras que grupos hacktivistas como Al Ahad, Marruecos Cyber ​​Aliens y RipperSec han expresado su intención de pasar a Signal y Discord. Dicho esto, ni Signal ni Session admiten la funcionalidad de bot o API como Telegram ni tienen amplias capacidades de mensajería grupal. Jabber y Tox, por el contrario, ya han sido utilizados por adversarios que operan en foros clandestinos. “La amplia base global de usuarios de Telegram todavía proporciona un amplio alcance, lo cual es crucial para las actividades de los ciberdelincuentes, como la difusión de información, la contratación de asociados o la venta de bienes y servicios ilícitos”, Intel 471 dicho. El director general de Telegram, Pavel Durov, sin embargo, ha minimizado los cambios, afirmando que “poco ha cambiado” y que ha estado compartiendo datos con las autoridades desde 2018 en respuesta a solicitudes legales válidas. “Por ejemplo, en Brasil, divulgamos datos de 75 solicitudes legales en el primer trimestre (enero-marzo) de 2024, 63 en el segundo trimestre y 65 en el tercer trimestre. En India, nuestro mercado más grande, atendimos 2461 solicitudes legales en el primer trimestre, 2151 en el segundo trimestre. y 2.380 en el tercer trimestre”, añadió Durov.

🔥 Recursos e información sobre ciberseguridad

  • Seminarios web EN VIVO
  • Pregúntale al experto
    • P: ¿Cómo pueden las organizaciones reducir los costos de cumplimiento y al mismo tiempo fortalecer sus medidas de seguridad?
    • A: Puede reducir los costos de cumplimiento y al mismo tiempo fortalecer la seguridad integrando de manera inteligente tecnología y marcos modernos. Empiece por adoptar modelos de seguridad unificados como NIST CSF o ISO 27001 para cubrir múltiples necesidades de cumplimiento, facilitando las auditorías. Concéntrese en áreas de alto riesgo utilizando métodos como FAIR para que sus esfuerzos aborden las amenazas más críticas. Automatice las comprobaciones de cumplimiento con herramientas como Splunk o IBM QRadar y utilice IA para una detección de amenazas más rápida. Consolide sus herramientas de seguridad en plataformas como Microsoft 365 Defender para ahorrar en licencias y simplificar la administración. El uso de servicios en la nube con cumplimiento integrado de proveedores como AWS o Azure también puede reducir los costos de infraestructura. Aumente la conciencia de seguridad de su equipo con plataformas de capacitación interactivas para construir una cultura que evite errores. Automatice los informes de cumplimiento utilizando ServiceNow GRC para facilitar la documentación. Implemente estrategias de Zero Trust como microsegmentación y verificación continua de identidad para fortalecer las defensas. Vigile sus sistemas con herramientas como Tenable.io para encontrar y corregir vulnerabilidades de manera temprana. Si sigue estos pasos, podrá ahorrar en gastos de cumplimiento y, al mismo tiempo, mantener sólida su seguridad.
  • Herramientas de ciberseguridad
    • Capa Explorer Web es un navegador herramienta que le permite explorar interactivamente las capacidades del programa identificadas por capa. Proporciona una manera fácil de analizar y visualizar los resultados de capa en su navegador web. capa es una herramienta gratuita de código abierto del equipo FLARE que extrae capacidades de archivos ejecutables, lo que le ayuda a clasificar archivos desconocidos, guiar la ingeniería inversa y buscar malware.
    • Matriz de herramientas de ransomware es un actualizado lista de herramientas utilizado por ransomware y bandas de extorsión. Dado que estos ciberdelincuentes suelen reutilizar herramientas, podemos utilizar esta información para buscar amenazas, mejorar las respuestas a incidentes, detectar patrones en su comportamiento y simular sus tácticas en simulacros de seguridad.

🔒 Consejo de la semana

Mantenga una “lista de ingredientes” para su software: Su software es como una receta elaborada con varios ingredientes: componentes de terceros y bibliotecas de código abierto. Al crear un Lista de materiales de software (SBOM)una lista detallada de estos componentes, podrá encontrar y solucionar rápidamente los problemas de seguridad cuando surjan. Actualice periódicamente esta lista, intégrela en su proceso de desarrollo, esté atento a nuevas vulnerabilidades y eduque a su equipo sobre estas partes. Esto reduce los riesgos ocultos, acelera la resolución de problemas, cumple con las regulaciones y genera confianza a través de la transparencia.

Conclusión

Vaya, esta semana realmente nos mostró que las amenazas cibernéticas pueden aparecer donde menos las esperamos, incluso en aplicaciones y redes en las que confiamos. ¿La gran lección? Mantente alerta y cuestiona siempre lo que tienes delante. Siga aprendiendo, mantenga la curiosidad y superemos juntos a los malos. ¡Hasta la próxima, mantente a salvo!

¿Encontró interesante este artículo? Síguenos en Gorjeo y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57