Noticias de ciberseguridad
A continuación, hemos seleccionado las noticias de seguridad a nivel mundial más relevantes.
El análisis del tráfico de WhatsApp permitiría la vigilancia gubernamental
The Intercept ha accedido a una evaluación de amenazas de WhatsApp en la que la empresa afirmaba que sus usuarios eran vulnerables a una forma de vigilancia gubernamental. En concreto, y aunque la aplicación cifra las conversaciones entre usuarios, la empresa habría afirmado que el análisis del tráfico a escala nacional permitiría a un estado discernir qué usuarios pertenecerían a grupos privados o qué usuarios se estarían comunicando entre sí, así como probablemente su localización. De acuerdo con lo publicado por The Intercept, esto preocuparía especialmente al personal de WhatsApp por su posible uso por parte de Israel para monitorizar ciudadanos palestinos. Sin embargo, la portavoz de WhatsApp habría indicado que este fallo no sería exclusivo de la aplicación, sino que el análisis de tráfico podría ser realizado con otros softwares de manera similar, y que no se trataría de una vulnerabilidad al uso sino de una utilidad puramente teórica. Accede a la noticia https://theintercept.com/2024/05/22/
ShrinkLocker emplea BitLocker para cifrar los dispositivos comprometidos
Los actores de amenazas estarían empleando la utilidad BitLocker para llevar a cabo ataques de ransomware. Según una investigación de Secure List, el malware ShrinkLocker utiliza VBScript para descubrir, mediante un sondeo de Windows Management Instrumentation, la versión del sistema operativo de la víctima, tras lo cual realiza operaciones de redimensionamiento del disco en unidades fijas en lugar de unidades de red. Una vez ha reajustado el particionado y la configuración de arranque, con BitLocker activado y en funcionamiento, el malware cifra el almacenamiento del dispositivo comprometido. Finalmente, ShrinkLocker elimina la clave de descifrado local y las opciones de recuperación del usuario, apagando el sistema infectado y mostrando un mensaje que indica a la víctima que ya no existen estas opciones de recuperación de BitLocker. Asimismo, el malware tiene la capacidad de cambiar la etiqueta de las particiones, insertando la dirección email de los atacantes. Accede a la noticia completa en https://securelist.com/ransomware
El troyano bancario Grandoreiro resurge
El troyano bancario Grandoreiro, basado en Windows y operado como un Malware-as-a-Service (MaaS), ha resurgido en una campaña global desde marzo de 2024 tras una intervención de las fuerzas del orden en enero. El análisis del malware ha revelado importantes actualizaciones en el descifrado de cadenas y el algoritmo de generación de dominios (DGA), además de la capacidad de utilizar clientes de Microsoft Outlook en equipos infectados para propagar más correos electrónicos de phishing. La última variante del malware también apunta específicamente a más de 1500 bancos globales, permitiendo a los atacantes realizar fraudes bancarios en más de 60 países, incluyendo regiones de América Central y del Sur, África, Europa y el Indo-Pacífico. Accede a la noticia completa en https://securityintelligence.com/x-force/
Kimsuky utiliza nueva puerta trasera en Linux en sus operaciones
El equipo de investigadores de Symantec ha publicado los resultados de una investigación en la que señalan que el actor amenaza norcoreano Kimsuky estaría utilizando una nueva backdoor en sus operaciones. En concreto, dicho software malicioso ha sido denominado como Gomir y estaría dirigido contra sistemas operativos Linux. Según los expertos, esta herramienta sería una variante de otra puerta trasera utilizada por Kimsuky orientada a sistemas operativos Windows, la cual se denomina GoBear, que es estructuralmente casi idéntica y comparten una gran cantidad de código fuente. Cabe indicar que, según la última campaña de este actor amenaza, en relación a vectores de entrada para distribuir este tipo de herramientas, cada vez utilizan más los paquetes de instalación de software y/o mediante el engaño de nuevas actualizaciones en el sistema. Asimismo, los expertos notaron un cambio en relación a su victimología, orientándose en la actualidad más los ataques a la cadena de suministro de software. Accede a la noticia completa en https://symantec-enterprise-blogs.security.com
Rockwell insta a desconectar dispositivos ICS de internet por amenazas cibernéticas
Rockwell Automation ha advertido a sus clientes que desconecten de la Internet pública todos los sistemas de control industrial (ICS) que no están diseñados para la exposición en línea, debido al aumento de actividad maliciosa global. En el reciente aviso de seguridad emitido, la compañía recomienda no configurar estos dispositivos para permitir conexiones remotas desde fuera de la red local, con el fin de reducir la superficie de ataque. Con esta medida se pretende asegurar que los atacantes no puedan acceder a sistemas no parcheados contra vulnerabilidades de seguridad. En este sentido, Rockwell enfatiza la urgencia de eliminar la conectividad a Internet pública de dispositivos no diseñados para ella, reduciendo la exposición a ciberataques. Accede a la noticia completa en https://www.rockwellautomation.com/
Malware Kinsing ataca servidores Apache Tomcat
El malware Kinsing ha ampliado recientemente su objetivo para incluir servidores Apache Tomcat. Este malware utiliza una estrategia de persistencia, ocultándose en ubicaciones insospechadas en sistemas Linux comprometidos. Estas ubicaciones suelen ser usadas para archivos legítimos del sistema, lo que permite al malware mezclarse y evitar la detección. Al aprovechar estas rutas aparentemente inocuas, los atacantes aumentan las posibilidades de que su malware pase desapercibido en los sistemas comprometidos. En este caso, se han detectado múltiples servidores infectados dentro de un entorno singular, incluido un servidor Apache Tomcat con vulnerabilidades críticas. Esto permite a Kinsing infiltrarse en el sistema, establecer backdoors ocultas y desplegar criptomineros para robar recursos computacionales y minar criptomonedas. Accede a la noticia completa en https://www.tenable.com/blog/kinsing
Si tu empresa ha sido víctima de un ataque, puedes llamar al teléfono 017, es una línea gratuita que el Instituto Nacional de Ciberseguridad (INCIBE) pone a tu disposición.
¡Hasta pronto!
