Noticias de Seguridad a nivel mundial: boletín nº197

Noticias de Seguridad a nivel mundial: boletín nº197

Noticias-Seguridad_enero_Fb.jpg

 

 

Ataques de DDoS mediante la red Citrix ADC-DTLS

 

Citrix emitió el pasado 24 de diciembre un aviso de urgencia en el que alerta de un ataque de DDoS amplificado contra dispositivos Citrix (NetScaler) Gateway mediante el uso de tramas DTLS (Datagram Transport Layer Security), que pretende ser un protocolo que optimiza las comunicaciones a gran distancia. Al parecer el factor de amplificación estimado es de 35, es decir, por cada unidad que emite el atacante, la empresa generaría 35 unidades salientes, lo que podría provocar el agotamiento de ancho de banda saliente. Dado que DTLS se apoya sobre un protocolo (udp) no orientado a conexión, permite falsificación de IP origen, que suelen falsificarse para afectar a IPs legales (víctimas). Para que el ataque sea efectivo se requiere que el controlador de entrega de aplicaciones Citrix, ADC, tenga habilitado EDT (Enlightened Data Transport UDP).

 

Los primeros reportes sobre el ataque comenzaron a llegar el 21 de diciembre, con comentarios de investigadores en Twitter que compartían evidencias de los ataques. La actualización para mejorar el protocolo DTLS y evitar este ataque está previsto para el próximo 12 de enero. Como mitigación hasta entonces, es posible desactivar DTLS en el Citrix ADC mediante la ejecución del comando: set vpn vserver <vpn_vserver_name> -dtls OFF. Más información en https://support.citrix.com/

 

 

 

Nueva campaña de malware Dridex a través de phishing

 

El equipo de investigadores de Cybereason ha detectado la distribución del malware Dridex a través de una campaña de phishing masiva que emplea el pretexto de las tarjetas regalo de Amazon. Este tipo de campañas son cada vez más frecuentes durante estos periodos navideños debido al incremento de las transacciones en comercios digitales. El grueso de las víctimas en esta ocasión parece concentrarse en Estados Unidos y los países de Europa occidental. El vector de distribución en la campaña es un correo electrónico muy bien construido que aparenta haber sido enviado desde Amazon y donde se ofrece una tarjeta regalo gratuita que el usuario debe descargarse.

Teniendo esto en común se han encontrado tres tipos distintos de técnicas de infección posteriores para la descarga final de Dridex, todas las cuales requieren que el usuario interactúe con un archivo, pero diferentes en cuanto al proceso de ejecución: documentos adjuntos que contienen macros maliciosas, archivos SCR (Screen Saver Files) autoextraíbles, o archivos VBScript adjuntos en el correo recibido.

 

Este troyano bancario tiene varias utilidades: robos de credenciales de acceso, registro de las pulsaciones (keylogger), toma de capturas de pantalla y descarga e instalación de otros programas maliciosos. Más información en https://www.cybereason.com/blog/

 

 

 

Hackeados los iPhones de 36 periodistas de Al Jazeera

 

Los teléfonos móviles de los periodistas de Al Jazeera fueron comprometidos mediante un exploit 0-day, es decir, una vulnerabildad que aún no era conocida por el fabricante, en una campaña de ciberespionaje.

En el informe publicado por Citizen Lab, de la universidad de Toronto, los teléfonos personales de los periodistas fueron infectados por el malware Pegasus, a través de una vulnerabilidad, ya parcheada en la actualidad, de la aplicación iMessage de Apple.

 

Pegasus está desarrollado por NSO Group, una empresa privada Israelí, y permite el acceso a la información sensible del dispositivo, sin conocimiento de la víctima.

Es complicado realizar el seguimiento de estas vulnerabilidades 0-day porque la víctima no suele advertir comportamientos sospechosos de su teléfono e, incluso si se producen, pueden achacarlos a un problema transitorio, que además no deja huellas en el dispositivo. Más información en https://unaaldia.hispasec.com/2

 

 

 

Cibercriminales hackean clínica de cirugía plástica; amenazan con revelar las fotos reales de miles de celebridades

 

El grupo de hacking ruso identificado como REvil afirma haber extraído más de 900GB de información de una clínica de cirugía plástica de celebridades. Al parecer, los actores de amenazas amenazan con filtrar las fotos de miles de celebridades antes y después de sus cirugías plásticas si sus demandas no son cumplidas. REvil es un grupo de hackers especializado en ataques de ransomware contra organizaciones públicas y privadas de todo el mundo.

La organización afectada es “The Hospital Group”, cuyas clínicas han recibido a populares actrices y actores como Kerry Katona, Tina Malone y Joey Essex. La compañía ya ha confirmado que sus bases de datos se vieron comprometidas después de un incidente de seguridad, además de señalar que la Oficina del Comisionado de Información (ICO) ya ha sido notificada sobre este ataque.

 

Medios americanos revelaron que las 11 clínicas pertenecientes a la organización (especializada en implantes de senos, operación de nariz e intervenciones para bajar de peso) se vieron comprometidas, por lo que todos sus clientes serán notificados durante los próximos días: “Podemos confirmar que nuestros sistemas informáticos se vieron expuestos a una violación de seguridad; los detalles de las tarjetas de pago de los pacientes no se han visto comprometidos, aunque el incidente involucra la exposición de datos personales”, menciona la notificación. Más información en https://noticiasseguridad.com/

 

 

 

Grupo Lazarus busca inteligencia relacionada con el COVID-19

 

Investigadores de Kaspersky han publicado un artículo en el que muestran evidencias que permitirían confirmar que el grupo Lazarus estaría detrás de varios incidentes de seguridad llevados a cabo contra entidades que tienen relación con la gestión de la pandemia del COVID-19. El primero de los incidentes tuvo lugar el 27 de octubre contra un ministerio de sanidad que no se llega a especificar en el artículo.

 

Durante el ataque se comprometieron dos servidores y los atacantes instalaron un malware conocido como “wAgent”. El segundo incidente, ocurrido el 25 de septiembre, se efectuó contra una compañía farmacéutica empleando el malware “Bookcode”. Si bien ambos ataques emplean tácticas, técnicas y procedimientos (TTPs) diferentes, el equipo asegura haber encontrado evidencias suficientes para atribuirlos al grupo Lazarus. Desde Kaspersky concluyen que, dados los objetivos y la información que éstos tratan, Lazarus podría tener en estos momentos interés en la obtención de información relacionada con la gestión de la pandemia del COVID-19.

Más información en https://securelist.com/

 

 

 

Telefónica Empresas te ayuda a proteger la información de tu empresa con el antivirus McAfee Protección y Privacidad, asegurando tus datos y privacidad de tu negocio frente a posibles ataques.

 

Si te interesan las noticias de seguridad, te recomendamos que accedas a nuestro foro de seguridad.

 

¡Hasta pronto



Consulta las opciones disponibles para tu empresa: Fusion Empresas, Tarifas moviles, Fibra optica y Aplicaciones digitales


Realiza fácilmente trámites y gestiones desde la web y la App de Telefónica Empresas.


Tu negocio siempre seguro con Prosegur Alarmas.


Además, síguenos en Twitter, Facebook, YouTube, Instagram y Linkedln.



Mensaje 1 de 1
510 Visitas
0 RESPUESTAS 0