Newsletter - 2024-38
Tabla de Contenidos
- Newsletter - 2024-38
- Acusación contra ciudadano chino por campaña de spear-phishing
- Nuevas características de seguridad en Google Chrome
- Vulnerabilidad crítica en VMware vCenter Server
- Sextortion: Vieja estafa con nuevos trucos
- Seguridad Cibernética en la Era Digital
- Microsoft estudia nuevas herramientas de seguridad para Windows tras la caída de CrowdStrike
- Botnet Gafgyt: Contraseñas SSH débiles para minar GPUs
Acusación contra ciudadano chino por campaña de spear-phishing
| Categoría | Cibercrimen |
| Nombre vulnerabilidad | Spear-phishing |
| Brecha | Acceso no autorizado a software y código fuente |
| Criticidad | |
| Fuente | The Hacker News |
Un ciudadano chino ha sido acusado en EE.UU. de llevar a cabo una campaña de spear-phishing durante varios años para obtener acceso no autorizado a software y código fuente creados por la NASA, universidades de investigación y empresas privadas. Song Wu, de 39 años, enfrenta 14 cargos de fraude electrónico y 14 cargos de robo de identidad agravado. Si es condenado, podría enfrentar una sentencia máxima de 20 años de prisión por cada cargo de fraude electrónico y una sentencia consecutiva de dos años por robo de identidad agravado.
Wu era ingeniero en la Aviation Industry Corporation of China (AVIC), un conglomerado estatal chino de defensa y aeroespacial. Se alega que Wu creó cuentas de correo electrónico para imitar a investigadores e ingenieros con sede en EE.UU., las cuales utilizó para obtener software especializado restringido o propietario para ingeniería aeroespacial y dinámica de fluidos computacional. Este software también podría ser utilizado en aplicaciones industriales y militares, incluyendo el desarrollo de misiles tácticos avanzados y el diseño y evaluación aerodinámica de armas.
Los correos electrónicos fraudulentos, enviados a empleados de la NASA, la Fuerza Aérea, la Marina y el Ejército de EE.UU., así como a individuos en universidades de investigación y empresas del sector privado, solicitaban el envío o la disponibilidad de código fuente o software. El DoJ no reveló el nombre del software ni el paradero actual del acusado.
Coincidiendo con la acusación, el DoJ también desveló otra acusación contra Jia Wei, un miembro del Ejército Popular de Liberación (PLA) chino, por infiltrarse en una empresa de comunicaciones con sede en EE.UU. para robar información propietaria.
Nuevas características de seguridad en Google Chrome
| Categoría | Navegadores Web |
| Nombre vulnerabilidad | Varias |
| Brecha | Permisos no deseados, Notificaciones no deseadas, Extensiones maliciosas |
| Criticidad | |
| Fuente | The Hacker News |
Google ha anunciado la implementación de un nuevo conjunto de características en su navegador Chrome que otorgan a los usuarios mayor control sobre sus datos al navegar por internet y los protegen contra amenazas en línea.
“Con la versión más reciente de Chrome, puedes aprovechar nuestra verificación de seguridad mejorada, optar por no recibir notificaciones de sitios web no deseados con mayor facilidad y otorgar permisos selectos a un sitio por una sola vez”, afirmó el gigante tecnológico.
Las mejoras en Safety Check permiten que se ejecute automáticamente en segundo plano, notificando a los usuarios sobre las acciones que ha tomado, como revocar permisos para sitios web que ya no visitan y señalar notificaciones potencialmente no deseadas.
También está diseñado para notificar a los usuarios sobre problemas de seguridad que necesitan ser abordados, mientras que revoca automáticamente los permisos de notificación de sitios sospechosos identificados por Google Safe Browsing.
“En el escritorio, Safety Check continuará notificándote si tienes alguna extensión de Chrome instalada que pueda representar un riesgo de seguridad para ti, luego te llevará a la página de extensiones y mostrará un panel resumen con controles rápidos para eliminarlas”, dijo Andrew Kamau, gerente de producto de Chrome.
Además de ofrecer a los usuarios la opción de habilitar las protecciones de Google Safe Browsing, Safety Check también es capaz de advertir si un nombre de usuario o contraseña almacenada en el Administrador de Contraseñas de Google estuvo involucrado en una brecha de datos, añadió la empresa de búsqueda y publicidad.
Algunas de las otras actualizaciones clave incluyen la capacidad de darse de baja de notificaciones de sitios web no deseadas directamente en el panel de notificaciones tanto en dispositivos Pixel como Android, así como otorgar permisos de una sola vez para Chrome en Android y en el escritorio.
“Con esta función, puedes elegir otorgar permisos selectos —como el acceso a tu cámara o micrófono— a un sitio por una sola vez, ayudándote a gestionar mejor tu privacidad en línea”, dijo Kamau. “Una vez que salgas del sitio, Chrome revocará los permisos. El sitio no podrá usar esos permisos hasta que los otorgues explícitamente de nuevo.”
Vulnerabilidad crítica en VMware vCenter Server
| Categoría | Seguridad Informática |
| Nombre vulnerabilidad | CVE-2024-38812 |
| Brecha | Ejecución Remota de Código |
| Criticidad | |
| Fuente | The Hacker News |
Broadcom lanzó actualizaciones para abordar una falla crítica de seguridad en VMware vCenter Server que podría permitir la ejecución remota de código. La vulnerabilidad, identificada como CVE-2024-38812 (puntaje CVSS: 9.8), es una vulnerabilidad de desbordamiento de montón en el protocolo DCE/RPC. Un actor malicioso con acceso a la red de vCenter Server podría explotar esta vulnerabilidad enviando un paquete de red especialmente diseñado, lo que potencialmente conduciría a la ejecución remota de código.
Esta vulnerabilidad es similar a otras dos fallas de ejecución remota de código, CVE-2024-37079 y CVE-2024-37080 (puntaje CVSS: 9.8), que VMware resolvió en junio de 2024. Además, VMware abordó una falla de escalada de privilegios en vCenter Server (CVE-2024-38813, puntaje CVSS: 7.5) que podría permitir a un actor malicioso con acceso a la red escalar privilegios a root enviando un paquete de red especialmente diseñado.
Los investigadores de seguridad zbl y srs del equipo TZL descubrieron y reportaron estas dos fallas durante la competencia de ciberseguridad Matrix Cup celebrada en China en junio de 2024. Broadcom no tiene conocimiento de la explotación maliciosa de estas dos vulnerabilidades, pero ha instado a los clientes a actualizar sus instalaciones a las últimas versiones para protegerse contra posibles amenazas.
Estas vulnerabilidades están relacionadas con problemas de gestión y corrupción de memoria que pueden ser utilizados contra los servicios de VMware vCenter, permitiendo potencialmente la ejecución remota de código.
El desarrollo de esta actualización coincide con una advertencia conjunta de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y el Buró Federal de Investigaciones (FBI) de EE.UU., que insta a las organizaciones a eliminar fallas de scripting entre sitios (XSS) que los actores de amenazas podrían explotar para vulnerar sistemas. Las vulnerabilidades de XSS surgen cuando los fabricantes no validan, sanitizan o escapan correctamente las entradas, permitiendo a los actores de amenazas inyectar scripts maliciosos en aplicaciones web y manipular, robar o mal utilizar datos en diferentes contextos.
Sextortion: Vieja estafa con nuevos trucos
| Categoría | Ciberseguridad |
| Nombre vulnerabilidad | Sextortion |
| Brecha | Exposición de datos personales y chantaje |
| Criticidad | |
| Fuente | Krebson Security |
Una vieja pero persistente estafa por correo electrónico conocida como “sextortion” ha adquirido un nuevo toque personalizado. Los mensajes, que afirman que un malware ha capturado imágenes de la webcam de los destinatarios mientras se complacían, ahora incluyen una foto del hogar de la víctima en un intento de hacer que las amenazas de publicar los videos sean más aterradoras y convincentes.
Esta semana, varios lectores informaron haber recibido correos electrónicos de sextortion que los llamaban por su nombre e incluían imágenes de su calle o patio delantero, aparentemente tomadas de una aplicación de mapas en línea como Google Maps. El mensaje pretende ser enviado por un hacker que ha comprometido tu computadora y usado tu webcam para grabar un video tuyo mientras veías pornografía. La misiva amenaza con liberar el video a todos tus contactos a menos que pagues un rescate en Bitcoin, en este caso, justo por debajo de los $2,000, pagaderos escaneando un código QR incrustado en el correo electrónico.
Siguiendo una salutación que incluye el nombre completo del destinatario.
Seguridad Cibernética en la Era Digital
| Categoría | Ciberseguridad |
| Nombre vulnerabilidad | Multiples |
| Brecha | Acceso no autorizado a información sensible |
| Criticidad | |
| Fuente | Infosecurity |
En la era digital en la que vivimos, las medidas robustas de ciberseguridad se han vuelto esenciales tanto para individuos como para empresas. Para las empresas, la necesidad es aún más crucial, ya que una sola brecha puede afectar a un gran número de personas al mismo tiempo. A medida que las empresas modernas, tanto pequeñas como grandes, comienzan a digitalizarse, se vuelven más vulnerables a toda una serie de amenazas cibernéticas.
Los hackers pueden acceder a la información de la empresa a través de varios puntos de entrada digitales comunes, como correos electrónicos empresariales, servidores de acceso remoto y servidores en la nube. Para protegerse contra estas brechas, la protección contra malware puede ser efectiva contra una amplia gama de amenazas. Además, las actualizaciones regulares del sistema y los parches de seguridad son vitales para cerrar cualquier vulnerabilidad existente.
Las tácticas de phishing siguen siendo una de las técnicas más efectivas para que los hackers accedan a sistemas seguros. Los ataques de phishing suelen desplegarse a través de correos electrónicos falsos que parecen provenir de fuentes conocidas o creíbles y pueden contener medios para romper o infectar el sistema. Para prevenir esto, los empleados deben ser entrenados regularmente para detectar los signos de intentos de phishing.
Las contraseñas débiles son otra causa común de brechas de seguridad. Implementar políticas de contraseñas fuertes y fomentar el uso de administradores de contraseñas o autenticación de dos factores (2FA) puede marcar una gran diferencia en la seguridad de los servidores de una empresa.
Las tácticas de ingeniería social implican manipular a las personas para que revelen información confidencial o realicen acciones que comprometan la seguridad. El entrenamiento regular sobre la importancia de los protocolos de seguridad y las tácticas comunes utilizadas por los hackers es crucial para defenderse contra estas amenazas.
Además, no todas las amenazas cibernéticas provienen de actores externos; en muchos casos, las personas dentro de la empresa pueden ser la fuente de la brecha, ya sea intencionalmente o por negligencia. Por ejemplo, compartir contraseñas entre empleados, aunque esté claramente prohibido, es una práctica común que puede tener consecuencias terribles.
Los ataques de ransomware son otro tipo de ciberataque particularmente pernicioso. Involucran infectar el software de la empresa con un virus o programa que permite a un hacker tomar el control del sistema y luego pedir un rescate para devolver el acceso.
Las redes inalámbricas que no están adecuadamente protegidas también pueden proporcionar un punto de entrada fácil para los ciberdelincuentes. Para proteger las redes inalámbricas, las empresas deben usar métodos de encriptación fuertes como WPA3 y cambiar regularmente las contraseñas de la red.
Comprender las múltiples formas en que los hackers pueden acceder a la información vital de la empresa es crítico para desarrollar estrategias de ciberseguridad efectivas. Solo abordando las vulnerabilidades más comunes e implementando medidas de seguridad integrales, las empresas pueden comenzar a protegerse de las crecientes amenazas en el mundo digital.
Microsoft estudia nuevas herramientas de seguridad para Windows tras la caída de CrowdStrike
| Categoría | Ciberseguridad, Seguridad en la Nube |
| Nombre vulnerabilidad | No especificada |
| Brecha | Error en la actualización de software |
| Criticidad | |
| Fuente | Security Boulevar |
En julio, una actualización defectuosa del proveedor de ciberseguridad CrowdStrike provocó la caída de más de 8,5 millones de sistemas Windows a nivel mundial, causando pérdidas de miles de millones de dólares a numerosas empresas, incluidas muchas de la lista Fortune 500. Este incidente ha llevado a Microsoft a reevaluar la manera en que los proveedores de seguridad y su software interactúan con el sistema operativo Windows.
John Cable, vicepresidente de Windows Servicing and Delivery, subrayó la necesidad de priorizar cambios e innovaciones para lograr una resiliencia de extremo a extremo en Windows. Este tema fue discutido nuevamente en una cumbre de un día en la sede de Microsoft en Redmond, Washington, que reunió a ejecutivos de Microsoft y varias compañías de seguridad, incluido CrowdStrike.
David Weston, vicepresidente de seguridad empresarial y del sistema operativo en Microsoft, destacó la importancia de que los proveedores de seguridad impulsen tanto la resiliencia como la protección ágil y adaptativa. Una de las consideraciones clave es permitir que los proveedores de antivirus operen fuera del núcleo de Windows, lo que podría evitar que actualizaciones defectuosas causen interrupciones a gran escala.
Microsoft ya estaba avanzando en esta dirección antes del incidente de CrowdStrike, con nuevas características de seguridad como VBS enclaves y el servicio de Microsoft Azure Attestation, que no dependen de controladores en modo núcleo. La compañía continuará desarrollando estas capacidades y colaborando con la comunidad de seguridad para mejorar la resiliencia del ecosistema de Windows.
Otras necesidades discutidas en la cumbre incluyeron protecciones contra manipulaciones para productos de seguridad, sensores de seguridad, principios de colaboración entre Microsoft y sus socios del ecosistema, y objetivos de diseño seguro.
Botnet Gafgyt: Contraseñas SSH débiles para minar GPUs
| Categoría | Malware, Criptominería |
| Nombre vulnerabilidad | Gafgyt Botnet |
| Brecha | Contraseñas SSH débiles |
| Criticidad | |
| Fuente | Security Boulevard |
Un nuevo variante del botnet Gafgyt ha sido descubierta por investigadores de ciberseguridad, apuntando a máquinas con contraseñas SSH débiles para la minería de criptomonedas. El botnet, también conocido como BASHLITE, Lizkebab y Torlus, ha estado activo desde 2014 y ha explotado credenciales débiles o predeterminadas desde entonces. Este botnet puede controlar dispositivos como routers, cámaras y grabadores de video digital (DVRs), utilizando fallos de seguridad en dispositivos de marcas como Dasan, Huawei, Realtek, SonicWall y Zyxel.
El investigador de seguridad Assaf Morag de Aqua Security mencionó que el botnet Gafgyt está ahora apuntando a servidores más robustos en entornos cloud-native. Estos dispositivos infectados son capaces de lanzar ataques de denegación de servicio distribuido (DDoS) y minería de criptomonedas usando “systemd-net”. Un módulo de gusano, ID-musl-x86, se utiliza para escanear la internet en busca de servidores vulnerables y propagar el malware.
El cryptominer utilizado en estos ataques es XMRig, un minero de la criptomoneda Monero. Este botnet ahora se dirige a entornos cloud-native con capacidades fuertes de CPU y GPU. Con más de 30 millones de servidores SSH vulnerables accesibles públicamente, es crucial que las organizaciones implementen medidas de seguridad robustas para prevenir accesos no autorizados y proteger su infraestructura contra estas amenazas avanzadas y persistentes.