A continuación, hemos seleccionado las últimas noticias de seguridad a nivel mundial
Miles de cuentas npm utilizan direcciones de correo electrónico con dominios expirados
Un estudio realizado por investigadores de Microsoft y la Universidad Estatal de Carolina del Norte en diciembre del año pasado, desveló que hasta 2.818 desarrolladores de JavaScript utilizan direcciones de correo electrónico con dominios expirados para sus cuentas de npm, algunos de los cuales se encontrarían a la venta en páginas como GoDaddy.
NPM es un sistema de gestión de paquetes por defecto de Node.js, ampliamente utilizado por desarrolladores de Javascript para compartir herramientas, instalar módulos y administrar dependencias. Usar direcciones con dominios caducados, podría permitir que un actor malicioso comprase dichos dominios, para luego registrar la dirección de correo del desarrollador en sus servidores y restablecer la contraseña, consiguiendo así tomar el control de sus paquetes npm. Este tipo de secuestro de cuentas se puede realizar fácilmente en npm ya que no se aplican la autenticación de doble factor (2FA) para los propietarios. Accede a la noticia completa en https://arxiv.org/abs/2112.10165
Alerta ante el incremento de ataques de ransomware en 2021
Agencias gubernamentales de Estados Unidos (FBI, CISA y NSA), Australia (ACSC) y Reino Unido (NCSC) han emitido una alerta conjunta para advertir sobre el incremento de ataques de ransomware observado durante el año 2021. En su aviso recopilan algunos comportamientos y tendencias utilizadas en los ataques, como las vías de acceso empleadas con más frecuencia en este tipo de ataques, el hecho de que las organizaciones criminales estén compartiendo información entre sí o la implantación definitiva del ya conocido mercado de “services-for-hire”, entre otros. Además, apuntan al marcado interés en atacar servicios en la nube, MSPs (Managed Service Providers), procesos industriales, a la cadena de suministro, o a las organizaciones durante periodos festivos o de fin de semana.
Asimismo, incluyen una serie de recomendaciones básicas de seguridad con la intención de reducir la posibilidad de sufrir este tipo de incidentes, y un listado de tareas a realizar si se acaba siendo víctima. Por otro lado, cabe destacar que la CISA ha actualizado su catálogo de vulnerabilidades activamente explotadas, añadiendo quince nuevos fallos. Más información en https://www.cisa.gov/uscert/
Incremento del fraude relacionado con San Valentín
La Comisión Federal de Comercio de Estados Unidos (FTC por sus siglas en inglés) ha publicado un informe sobre la evolución de las estafas que tienen como temática el día de los enamorados. El factor común en estas estafas es la creación de perfiles falsos en redes sociales, los cuales son empleados para ganarse la confianza de las víctimas, empleando como señuelo una posible relación de pareja. Una vez ganada la confianza de la víctima, el agente amenaza solicita dinero bajo diferentes pretextos como: curar a un familiar, obtener una herencia o invertir en un negocio.
La franja de edad objetivo suele ser de usuarios de 18 a 29 años, siendo los mayores de 70 quienes experimentan las pérdidas más elevadas de dinero. Entre las principales conclusiones se destaca que solo el año pasado la población estadounidense perdió en torno a 547 millones de dólares por esta clase de estafas. Accede a la noticia completa en https://www.ftc.gov/news-events/
Cibercriminales utilizan Regsvr32 de Windows para distribuir malware
Investigadores de Uptycs han analizado una nueva campaña en la que actores maliciosos estarían incrementando el abuso de un LOLBin de Windows conocido como Regsvr32 para propagar malware. Los LOLBins son utilidades legítimas y nativas utilizadas habitualmente en entornos informáticos que los ciberdelincuentes aprovechan para evadir la detección mezclándose con los patrones de tráfico normales.
En este caso, Regsvr32 es una utilidad firmada por Microsoft en Windows que permite a los usuarios gestionar librerías de código y registrar archivos DLL añadiendo información al directorio central (registro) para que pueda ser utilizado por Windows y compartido entre programas. Según Uptycs, se estaría abusando de esta utilidad a través de una técnica conocida como Squiblydoo, donde Regsvr32 se utiliza para ejecutar DLLs mediante scriptlets COM que no realizan ningún cambio en el registro. Más detalle de la noticia en
https://securityaffairs.co/wordpress/
Sistemas de salud, educación y gobierno afectados por la botnet FritzFrog
Investigadores de Akamai Threat Labs han publicado un completo análisis que demuestra una potente vuelta a la actividad de la botnet FritzFrog durante el último mes apuntando a servidores SSH. El malware FritzFrog fue descubierto en agosto de 2020 y está considerado como una amenaza sofisticada de origen chino basada en código personalizado y descentralizado (P2P), por lo que no necesita una central operativa, dificultando así su detección.
Según los datos publicados por Akamai, esta botnet habría conseguido en 8 meses infectar al menos 500 servidores SSH de gobiernos y empresas y lanzar 24.000 ataques infectando a 1.500 host, la mayoría de ellos en China. El equipo de Akamai Threat Labs añade que, aunque el objetivo principal de esta botnet es la minería de criptomonedas, los sectores de sanidad, educación y administraciones públicas están en la lista de objetivos de ataque. Accede a la noticia completa en https://www.akamai.com/
Google Drive responsable del 50% de las descargas de documentos maliciosos
Investigadores de Atlas VPN, basándose en los datos de un informe de Netskope Threat Lab Cloud and Threat publicado el pasado mes de enero, han aportado nuevos detalles que muestran como los atacantes abusan de las aplicaciones en la nube para alojar documentos que contienen malware. Los ciberdelincuentes entregan documentos ofimáticos maliciosos a través de estos servicios “cloud” de una manera relativamente sencilla. Primero, crean sus cuentas gratuitas, suben archivos maliciosos y los comparten o bien públicamente o bien con víctimas específicas. Posteriormente, el atacante solo necesita esperar hasta que alguien abra el archivo e infecte su dispositivo con malware.
Según la publicación de Atlas VPN, durante el pasado año 2021 cerca del 50% de los documentos ofimáticos que contenían malware fueron descargados desde la plataforma Drive de Google. Más información en https://atlasvpn.com/
Los virus y el malware evolucionan continuamente y cada vez son más peligrosos. Para no correr riesgos innecesarios, te recomendamos que protejas tu empresa y evites ser víctima de un ciberataque.
Si tu empresa ha sido víctima de un ataque, puedes llamar al teléfono 017, es una línea gratuita que el Instituto Nacional de Ciberseguridad (INCIBE) pone a tu disposición.
¡Hasta pronto!
