Filtración de datos de Accenture

El grupo de Ransomware-as-a-Service Lockbit anunciaba ayer a través de su portal de la dark web, la publicación de una serie de datos relacionados con la compañía Accenture, que podrían haber sido sustraídos durante un ataque de ransomware del grupo. Esta primera filtración no incluía información confidencial sino que en su mayoría, se trataría de información de marketing de la compañía. Según informaban ayer algunos medios, fuentes de la multinacional habrían reconocido la detección de actividad anómala, resultado de la cual se habría procedido a aislar de forma inmediata los servidores que potencialmente podrían haberse visto afectados. Accenture ha indicado que estas acciones no han tenido ningún impacto sobre sus operaciones ni sobre los sistemas de sus clientes.

Según informa Bleeping Computer, fuentes cercanas a la firma aseguran que Accenture habría confirmado el incidente de ransomware al menos a un proveedor de CTI, pero por el momento, la compañía no ha confirmado si se trataba de un ataque interno ni ha aportado información sobre el periodo de afectación. La firma Hudson Rock aseguraba que Accenture contaba con 2.500 equipos de trabajadores y socios vulnerables y que esta información podría haber sido utilizada por los atacantes, mientras que la compañía Cyble planteaba la posibilidad remota que se tratase de un ataque interno. Más información en https://www.bleepingcomputer.com/news/

Campaña masiva de phishing contra correos corporativos

Investigadores de seguridad de Microsoft han alertado de una campaña de phishing, activa desde julio de 2020, que busca la recolección de contraseñas, nombres de usuario, IPs o ubicaciones de las víctimas, para su utilización como punto de entrada en posteriores infiltraciones.

Lo más característico de la campaña según los investigadores, es la capacidad de evolución que ha ido demostrando a lo largo del tiempo, de forma que los atacantes han ido modificando sus mecanismos de ofuscación y cifrado para permanecer indetectables, llegando incluso a codificar en morse parte de su ejecución. Los atacantes enviaban correos de phishing con supuestas notificaciones de pago, en los que adjuntaban archivos HTML nombrados como “XLS.HTML”. El uso del término “XLS” en el nombre del archivo, estaba enfocado a confundir a los usuarios para que éstos pensasen que se trataba de un archivo Excel. Al abrirlo, se mostraba un falso cuadro de dialogo donde el usuario debía introducir sus credenciales de Office 365 para, supuestamente, poder visualizar un archivo de Excel. Más información en https://www.microsoft.com/security/blog/

Más de un millón de tarjetas de crédito han sido comprometidas

Investigadores de Cyble han alertado de la publicación de forma gratuita de más de un millón de tarjetas de crédito en el sitio web AllWorld Cards, un nuevo mercado de compraventa especializado en carding. Según la publicación detectada, las tarjetas habrían sido robadas entre 2018 y 2019 a través de actividades ilícitas como campañas de phishing, infecciones con troyanos bancarios, entre otros.

De acuerdo con el actor amenaza que ha publicado la base de datos, al menos el 20% de las tarjetas seguirían activas en estos momentos. Sin embargo, varias firmas de seguridad que han conseguido analizar la información aseguran que esta cifra se aproximaría más al 50%. Los países con mayor número de tarjetas identificadas serían India, México y Estados Unidos, pero también existiría afectación en bancos españoles. Atendiendo a los bancos afectados, los que cuentan con mayor número de tarjetas publicadas serían: State Bank of India, Banco Santander Brasil, Sutton Bank, JPMorgan y BBVA. Más información en  https://blog.cyble.com/2021/08/08/

Nueva campaña de malvertising: malware Cinobi distribuido a través de aplicaciones

Investigadores de Trend Micro han identificado una nueva campaña de malvertising que se sustentaría en técnicas de ingeniería social para su distribución y que tendría como objetivos ciudadanos japoneses. La distribución del malware se estaría realizando a través de aplicaciones que simulaban ser juegos pornográficos, aplicaciones de puntos de recompensa o aplicaciones para la visualización de vídeo en directo.

El malware distribuido es el troyano bancario conocido como Cinobi, cuyo objetivo principal sería en esta campaña el robo de credenciales de las cuentas de criptomonedas de las víctimas. Comparando una muestra del malware de la campaña actual con otras anteriores, los investigadores apuntan al hecho de que se habrían añadido diversos sitios web de intercambio de criptodivisas japoneses en la lista de objetivos. La actividad se habría atribuido al grupo Water Kappa, relacionado anteriormente con este mismo malware. Más información en  https://www.trendmicro.com/en_us/

Nueva vulnerabilidad en Print Spooler de Microsoft Windows

Se ha detectado una vulnerabilidad de severidad alta que afecta al servicio de cola de impresión de Windows que podría permitir a un ciberatacante realizar una ejecución remota de código.

Primero hay que comprobar si el servicio Print Spooler (cola de impresión) se está ejecutando. Para ello, tendremos que ejecutar este comando como administrador de dominio: «Get - Service - Name Spooler» que nos dirá si la cola de impresión se está ejecutando o si el servicio no está desactivado.

Se recomienda parar y desactivar el servicio de cola de impresión en los sistemas afectados y que hagan uso de este servicio, ya que por defecto se encuentra activado, si esto es adecuado para su empresa. Para ello, tendremos que ejecutar estos comandos como administrador de dominio: «Stop-Service -Name Spooler -Force», y a continuación: «Set-Service -Name Spooler -StartupType Disabled». Esta medida impide la impresión en local y como servidor de impresión. Más información en Incibe.

Si tu empresa ha sido víctima de un ataque, puedes llamar al teléfono 017, es una línea gratuita que el Instituto Nacional de Ciberseguridad (INCIBE) pone a tu disposición.

¡Hasta pronto!