A continuación, hemos seleccionado las noticias de seguridad a nivel mundial más relevantes

Malware, phishing, ransomware y smishing

El Ransomware que borra copias de seguridad

Los delincuentes que difunden el ransomware Noberus están agregando armas a su malware para robar datos y credenciales de redes comprometidas.

El mes pasado se vio una versión ampliamente actualizada de la herramienta de exfiltración de datos Exmatter que se usó con Noberus en infecciones de ransomware, y se detectó al menos un afiliado que usa Noberus usando Eamfo, el malware que roba información que se conecta a la base de datos SQL donde se encuentra la copia de seguridad de Veeam de la víctima. La instalación del software almacena las credenciales, según los investigadores del Threat Hunting Team de Symantec.

La adopción de las tácticas, herramientas y procedimientos (TTP) por parte de Coreid, el grupo de ransomware como servicio (RaaS) que se cree que está detrás de Noberus, y sus afiliados hacen que la amenaza sea más peligrosa que nunca. Accede a la noticia completa en https://noticiasseguridad.com/malware-virus/el-ransomware

BlueBleed: nueva brecha de datos de Microsoft

Microsoft comunicó que parte de la información confidencial de sus clientes fue expuesta por una mala configuración accesible a través de Internet.

El fallo en la configuración del servidor fue descubierta por la firma de inteligencia de amenazas de seguridad SOCRadar, esta notificó el fallo a la compañía americana el 24 de septiembre de 2022 que aseguró el servidor afectado tras la notificación.

“Esta mala configuración resultó en el potencial acceso no autenticado a algunos datos de transacciones comerciales correspondientes a interacciones entre Microsoft y posibles clientes, como la planificación o la posible implementación y provisión de servicios de Microsoft”.

También añadieron que no encontró ningún indicio de que las cuentas o los sistemas de los clientes estuvieran comprometidos y que se había notificado directamente a los clientes afectados. Accede a la noticia completa en https://unaaldia.hispasec.com/2022/10/

RedLine Stealer distribuido mediante phishing a una web de conversión de archivos

Investigadores de Cyble Research and Intelligence Labs (CRIL) han descubierto un sitio de phishing que se hacía pasar por una web legítima de Convertio, una sencilla herramienta online que convierte archivos a diferentes formatos, y que estaría propagando el malware de tipo stealer, RedLine.

Según Cyble, cuando una víctima accede a la web de phishing, bien diseñada y muy similar al sitio web legítimo de Convertio, y selecciona la extensión a la que desea convertir un archivo, se le redirige a otra web desde donde descargará el supuesto archivo convertido en formato .zip. Este será un archivo de acceso directo con extensión .lnk (YourConvertedFile.lnk) que, al ejecutarse, iniciará una cadena de infección mediante archivos .bat y .exe que acabarán implementando en el equipo de la víctima la cepa de malware conocida como "RedLine Stealer". El malware, escrito en C#, con funciones de command-and-control (C2), y comercializado en foros underground como un malware as a Service (MaaS), es capaz de robar información de navegadores web. Accede a la noticia completa en https://blog.cyble.com/

Grupo Noname057(16) ataca al Ministerio de Defensa

Durante el pasado fin de semana, el actor malicioso Noname057(16) habría realizado un ataque contra las páginas del Ministerio de Defensa español, dejándolas inaccesibles durante un breve periodo de tiempo. 

Noname057(16) se trata de un grupo con objetivos políticos y que suele realizar ataques de denegación de servicio contra sus víctimas, instituciones y empresas pertenecientes a países miembros de la Unión Europea y de la OTAN, especialmente en los sectores públicos, de transporte y de telecomunicaciones. Según el mencionado canal de Telegram, el reciente ataque contra el Ministerio de Defensa sería una represalia contra el Gobierno de España por el suministro de armamento antiaéreo a Ucrania. Accede a la noticia completa en https://twitter.com/Cyberknow20/

Ducktail: nueva campaña de malware dirigida contra cuentas de Facebook

Investigadores de Zscaler han descubierto una nueva campaña maliciosa llevada a cabo por una variante del malware denominado Ducktail y cuya función principal sería la de robar cuentas de Facebook. En concreto, esta nueva versión destaca por estar escrito en PHP y cuya distribución se realiza mediante instaladores falsos de aplicaciones y juegos legítimos.

Asimismo, cabe indicar que las versiones anteriores del malware utilizaban Telegram como Command & Control (C2) para exfiltrar información, mientras que la nueva variante detectada en agosto de 2022 establece conexiones con un sitio web para almacenar los datos en formato JSON. Las cadenas de ataque observadas por Zscaler implican la integración del malware en archivos ZIP alojados en servicios de intercambio de archivos haciéndose pasar por versiones falsificadas de Microsoft Office y otras aplicaciones legitimas. Accede a la noticia completa en https://www.zscaler.com/

Si tu empresa ha sido víctima de un ataque, puedes llamar al teléfono 017, es una línea gratuita que el Instituto Nacional de Ciberseguridad (INCIBE) pone a tu disposición.

¡Hasta pronto!