Newsletter - 2024-40
Tabla de Contenidos
- Newsletter - 2024-40
- Ataque de Ransomware a Microsoft 365
- Descubierta app maliciosa que roba criptomonedas en Google Play Store
- Nueva Campaña de Cryptojacking Dirigida a Docker
- Fuxnet: el malware que paralizó sistemas SCI
- Alerta de Ciberseguridad en EE.UU.
- Vulnerabilidad en el NVIDIA Container Toolkit
- Vulnerabilidad crítica en cámaras Hikvision expone a miles de organizaciones
Ataque de Ransomware a Microsoft 365
| Categoría | Ciberseguridad |
| Nombre vulnerabilidad | Ransomware en Microsoft 365 |
| Brecha | Acceso no autorizado a datos empresariales |
| Criticidad | |
| Fuente | The Hacker News |
Imagine un sofisticado ciberataque que paraliza la herramienta de productividad y colaboración más crítica de su organización — la plataforma en la que confía para las operaciones diarias. En un abrir y cerrar de ojos, los hackers cifran sus correos electrónicos, archivos y datos comerciales cruciales almacenados en Microsoft 365, manteniéndolos como rehenes mediante ransomware. La productividad se detiene y su equipo de TI corre contra el tiempo para evaluar el daño mientras el reloj avanza con una demanda de rescate que amenaza con destruir sus datos para siempre. ¿Cómo sucedió esto y, más importante, cómo puede prevenirlo?
Microsoft 365 (M365) es la columna vertebral de innumerables organizaciones en todo el mundo, ofreciendo una plataforma basada en la nube para la comunicación, colaboración y gestión de datos. Más de 400 millones de usuarios dependen de Microsoft 365 para todo, desde la creación y gestión de documentos hasta la videoconferencia. Si bien M365 ha permitido a las empresas transformarse digitalmente y mantenerse competitivas, su ubicuidad e integración lo han convertido en un objetivo principal para los ciberdelincuentes.
En este artículo, examinamos las vulnerabilidades en Microsoft 365 y discutimos cómo las estrategias de protección de datos proactivas, que aprovechan soluciones de respaldo dedicadas de terceros como Backupify, permiten a las empresas fortalecer sus defensas contra la creciente amenaza del ransomware y otros riesgos cibernéticos.
Entender por qué Microsoft 365 es tan atractivo para los atacantes es crucial para fortalecer sus defensas. Aquí hay algunos motivos por los cuales Microsoft 365 es un punto focal para los ciberdelincuentes:
- Uso generalizado: Microsoft 365 es una de las plataformas de productividad basadas en la nube más utilizadas hoy en día. Su uso generalizado también significa que un ataque exitoso puede potencialmente impactar a millones de organizaciones, haciéndolo un objetivo lucrativo para los actores maliciosos.
- Integración de servicios: Microsoft 365 integra varios servicios, como Outlook, SharePoint, Teams y OneDrive, creando un ecosistema completo para los usuarios. Esto amplía la superficie de ataque para los ciberdelincuentes con múltiples puntos de entrada.
- Foco en los usuarios: Los ciberdelincuentes a menudo se enfocan en los usuarios, que son el eslabón más débil en cualquier estrategia de ciberseguridad. Los ataques de phishing están diseñados para engañar a los usuarios para que revelen sus credenciales de inicio de sesión o instalen software malicioso.
- Almacenamiento de datos sensibles: Microsoft 365 almacena grandes volúmenes de datos comerciales sensibles, incluidos registros financieros, propiedad intelectual e información personal, lo que lo convierte en un objetivo ideal para los ataques de ransomware.
- Exploits de día cero: Microsoft 365 es susceptible a CVEs, incluidos los exploits de día cero, donde los atacantes pueden explotar brechas de seguridad desconocidas o sin parchear.
Una solución de respaldo y recuperación de terceros para Microsoft 365 garantiza que una copia de sus datos críticos se replique y almacene de manera segura fuera de la infraestructura de Microsoft. Soluciones como Backupify hacen esto de manera exitosa.
Construir una defensa sólida contra el ransomware es clave para asegurar que su organización pueda recuperarse de manera rápida y efectiva. Aquí hay algunas medidas proactivas para fortalecer sus defensas:
- Estrategia de seguridad en capas: Implementar una estrategia de seguridad en capas que incluya MFA, acceso condicional y protección de identidad.
- Evaluaciones regulares de vulnerabilidad: Evaluar regularmente su entorno Microsoft 365 para identificar posibles puntos débiles.
- Capacitación en concienciación de usuarios: Capacitar regularmente a los empleados sobre las últimas amenazas y mejores prácticas.
- Monitoreo y registro en tiempo real: Implementar herramientas de monitoreo avanzadas para detectar y responder a actividades sospechosas.
- Marco de seguridad de confianza cero: Adoptar un marco de seguridad de confianza cero que verifique cada solicitud de acceso.
- Detección avanzada de phishing: Desplegar herramientas avanzadas de detección de phishing que usen inteligencia artificial y aprendizaje automático.
Descubierta app maliciosa que roba criptomonedas en Google Play Store
| Categoría | Ciberseguridad, Criptomonedas |
| Nombre vulnerabilidad | MS Drainer |
| Brecha | Robo de criptomonedas |
| Criticidad | |
| Fuente | The Hacker News |
Investigadores de ciberseguridad han descubierto una aplicación maliciosa en Google Play Store que permitió a los actores de la amenaza robar aproximadamente $70,000 en criptomonedas de las víctimas durante un período de casi cinco meses. La aplicación engañosa, identificada por Check Point, se hacía pasar por el protocolo de código abierto WalletConnect para engañar a los usuarios desprevenidos y hacer que la descargaran.
“Reseñas falsas y una marca consistente ayudaron a la aplicación a lograr más de 10,000 descargas al posicionarse alto en los resultados de búsqueda”, dijo la empresa de ciberseguridad en un análisis. Esta es la primera vez que un drenador de criptomonedas ha apuntado exclusivamente a usuarios de dispositivos móviles. Se estima que más de 150 usuarios han caído víctimas del engaño, aunque no todos los que descargaron la aplicación fueron impactados por el drenador de criptomonedas.
La campaña involucró la distribución de una aplicación engañosa que se conocía por varios nombres como “Mestox Calculator,” “WalletConnect - DeFi & NFTs,” y “WalletConnect - Airdrop Wallet” (co.median.android.rxqnqb). Aunque la aplicación ya no está disponible para su descarga desde el mercado oficial de aplicaciones, datos de la plataforma de análisis de aplicaciones Sensor Tower muestran que fue popular en Nigeria, Portugal y Ucrania, y estaba vinculada a un desarrollador llamado UNS LIS.
El desarrollador también ha estado asociado con otra aplicación de Android llamada “Uniswap DeFI” (com.lis.uniswapconverter) que estuvo activa en Play Store durante aproximadamente un mes entre mayo y junio de 2023. Actualmente no se sabe si la aplicación tenía alguna funcionalidad maliciosa. Sin embargo, ambas aplicaciones pueden ser descargadas desde fuentes de tiendas de aplicaciones de terceros, una vez más destacando los riesgos de descargar archivos APK de otros mercados.
Una vez instalada, la falsa aplicación WalletConnect está diseñada para redirigir a los usuarios a un sitio web falso basado en su dirección IP y cadena User-Agent, y si es así, redirigirlos una segunda vez a otro sitio que imita a Web3Inbox. Los usuarios que no cumplen con los criterios requeridos, incluidos aquellos que visitan la URL desde un navegador web de escritorio, son llevados a un sitio web legítimo para evadir la detección, permitiendo efectivamente que los actores de la amenaza pasen el proceso de revisión de la aplicación en Play Store.
Además de tomar medidas para prevenir el análisis y la depuración, el componente principal del malware es un drenador de criptomonedas conocido como MS Drainer, que solicita a los usuarios conectar su billetera y firmar varias transacciones para verificar su billetera. La información ingresada por la víctima en cada paso se transmite a un servidor de comando y control (cakeserver[.]online) que, a su vez, envía una respuesta que contiene instrucciones para activar transacciones maliciosas en el dispositivo y transferir los fondos a una dirección de billetera perteneciente a los atacantes.
“Similar al robo de criptomonedas nativas, la aplicación maliciosa primero engaña al usuario para que firme una transacción en su billetera”, dijeron los investigadores de Check Point. “A través de esta transacción, la víctima otorga permiso para que la dirección del atacante (el campo ‘Address’ en la configuración) transfiera la cantidad máxima del activo especificado (si se permite por su contrato inteligente).”
En el siguiente paso, los tokens de la billetera de la víctima son transferidos a una billetera diferente controlada por los atacantes. Esto también significa que si la víctima no revoca el permiso para retirar tokens de su billetera, los atacantes pueden seguir retirando los activos digitales tan pronto como aparezcan sin requerir ninguna acción adicional.
Nueva Campaña de Cryptojacking Dirigida a Docker
| Categoría | Ciberseguridad |
| Nombre vulnerabilidad | Exposición de API de Docker sin autenticación |
| Brecha | Acceso no autenticado a endpoints de Docker API |
| Criticidad | |
| Fuente | The Hacker News |
Investigadores de ciberseguridad han descubierto una nueva campaña de cryptojacking que apunta a la API del Docker Engine con el objetivo de cooptar las instancias para unirse a un Docker Swarm malicioso controlado por los atacantes. Esto les permitió usar las características de orquestación de Docker Swarm para propósitos de comando y control (C2).
Los ataques aprovechan Docker para el acceso inicial, desplegando un minero de criptomonedas en contenedores comprometidos, y ejecutan cargas útiles adicionales responsables de movimientos laterales hacia hosts relacionados que ejecutan Docker, Kubernetes o SSH. Específicamente, esto implica identificar endpoints de Docker API no autenticados y expuestos utilizando herramientas de escaneo de Internet como masscan y ZGrab.
En los endpoints vulnerables, la API de Docker se usa para generar un contenedor Alpine y luego recuperar un script de inicialización (init.sh) desde un servidor remoto, que descarga el minero XMRig. La campaña también usa el rootkit libprocesshider para ocultar el proceso malicioso del usuario.
Los scripts adicionales kube.lateral.sh, spread_docker_local.sh y spread_ssh.sh se utilizan para el movimiento lateral en la red. Estos scripts escanean rangos LAN en busca de nodos con puertos abiertos asociados con Docker Engine o Docker Swarm y comprometen servidores SSH añadiendo una clave SSH y un nuevo usuario para mantener acceso persistente.
Finalmente, los payloads de movimiento lateral ejecutan otro script que recupera y lanza el minero de criptomonedas. También se descubrieron otros scripts en el servidor C2 que manipulan Docker Swarm, permitiendo a los atacantes coordinar sistemas comprometidos en una botnet.
Aunque no está claro quién está detrás de esta campaña, las técnicas exhibidas se superponen con las de un grupo de amenazas conocido como TeamTNT. Esta campaña demuestra que servicios como Docker y Kubernetes siguen siendo fructíferos para actores de amenazas que realizan cryptojacking a gran escala.
Fuxnet: el malware que paralizó sistemas SCI
| Categoría | Ciberseguridad |
| Nombre vulnerabilidad | Malware |
| Brecha | Sistemas SCI |
| Criticidad | |
| Fuente | INCIBE |
En los últimos años, el sector industrial ha enfrentado una creciente amenaza de ciberataques. Estos ataques van más allá de simples intrusiones digitales, ya que tienen el potencial de interrumpir el suministro de servicios básicos, como electricidad y agua, además de paralizar por completo las operaciones de una empresa. Incluso una interrupción breve puede tener consecuencias devastadoras, lo que resalta la necesidad urgente de fortalecer la ciberseguridad en el ámbito industrial.
Es importante destacar que llevar a cabo estos ciberataques se ha vuelto cada vez más difícil. Muchas de estas infraestructuras no están directamente conectadas a Internet, lo que se conoce como ‘seguridad por oscuridad’, o tienen conexiones externas que están muy bien securizadas y controladas.
En los últimos días, el grupo de hackers Blackjack hizo pública la información del ciberataque que realizó con el malware Fuxnet contra la empresa Moscollector. Esta empresa tiene su sede en Moscú y se encarga de la construcción y la vigilancia de redes subterráneas, infraestructuras de agua, alcantarillado y comunicaciones. Fuxnet es una evolución del famoso malware Stuxnet.
Por la información proporcionada por Blackjack, deducimos que el malware probablemente se implementó de forma remota. Una vez desplegado, sus objetivos eran los siguientes:
- Información volcada de bases de datos.
- Diagrama funcionamiento Meter-Bus.
Blackjack afirma haber comprometido 87.000 dispositivos, pero en base al punto anterior, se asume que en realidad solo infectaron las puertas de enlace de los sensores e intentaron causar más daños inundando el canal Meter-Bus que conecta los diferentes sensores a la puerta de enlace. Esto resultó en la inutilización de las puertas de enlace y no de los sensores finales.
El alcance del ataque fue muy amplio, afectando a los sensores y comprometiendo las puertas de enlace de sensores, enrutadores, software de gestión (paquete de software SBKManager) y el sistema de monitorización de sensores.
Un ataque a un servicio esencial puede causar una amplia gama de daños, que van desde interrupciones en la prestación de servicios, hasta situaciones de emergencia y peligro para la vida de las personas. Por ejemplo, en el caso de hospitales, un ataque cibernético puede paralizar sistemas críticos como los de gestión de pacientes, registros médicos electrónicos o equipos médicos conectados a la red, lo que podría retrasar o impedir el acceso a la atención médica necesaria. En el caso de aeropuertos, un ataque podría interferir con los sistemas de control de tráfico aéreo, provocar cancelaciones de vuelos, e incluso poner en riesgo la seguridad de los pasajeros y la tripulación. En resumen, los daños de un ataque a un servicio esencial pueden ser altamente significativos y tener repercusiones graves en la seguridad física o salud de las personas y en la sociedad en general.
Para prevenir este tipo de ataques, se pueden implementar varias contramedidas, entre las que se incluyen:
- Monitorización de red.
Implementando estas contramedidas, junto con una estrategia de defensa en profundidad, las organizaciones pueden fortalecer su postura de seguridad y reducir significativamente el riesgo de ser víctimas de ataques como el mencionado.
El caso del malware Fuxnet destaca la sofisticación y el potencial devastador de los ciberataques dirigidos a infraestructuras críticas. Este artículo ha subrayado la importancia de comprender las tácticas y objetivos de tales amenazas, así como la necesidad urgente de fortalecer la ciberseguridad en el ámbito industrial. Con el conocimiento obtenido al estudiar los ciberincidentes ocurridos en el pasado y adoptar medidas preventivas y proactivas, las organizaciones pueden mejorar su capacidad para detectar, contener y mitigar los impactos de futuros ataques similares.
Alerta de Ciberseguridad en EE.UU.
| Categoría | Ciberseguridad |
| Nombre vulnerabilidad | Amenaza rusa |
| Brecha | Interconexión de infraestructuras críticas y aplicaciones empresariales |
| Criticidad | |
| Fuente | Threatpost |
Las advertencias repetidas de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y la Administración Biden sobre la amenaza cibernética rusa han elevado el estado de alerta para las agencias y empresas estadounidenses. La propuesta de presupuesto para el año fiscal 2023 de la Administración Biden muestra que la ciberseguridad es una prioridad máxima para el gobierno federal, con fondos adicionales significativos para enfrentar estos riesgos interconectados.
A pesar de la guía de la Casa Blanca y CISA, esto no se traduce necesariamente en más presupuesto de TI o personal de seguridad en el sector privado. Las empresas deben tomar medidas estratégicas para asegurar sus aplicaciones críticas con los recursos actuales, priorizando la modernización de tecnologías antiguas para mitigar vulnerabilidades crecientes. La gestión de vulnerabilidades debe incluir la capacidad de priorizar, proporcionando un contexto completo y conciencia sobre la gravedad y el impacto potencial en el negocio.
Para comprender qué activos necesitan atención urgente, las empresas deben crear una lista de triage actualizada, que incluya una explicación detallada del impacto en el negocio y una puntuación de riesgo asociada. Una vez priorizados, los equipos de seguridad pueden planificar pasos de remediación, mejorando significativamente la postura de seguridad con cada paso.
Las aplicaciones críticas para el negocio, como los sistemas de planificación de recursos empresariales (ERP), son esenciales para las operaciones diarias. Sin embargo, muchas herramientas de detección de amenazas actuales no cubren estas aplicaciones, dejando una gran brecha en los programas de seguridad. Las organizaciones deben asegurarse de que las soluciones de ciberseguridad adoptadas puedan proporcionar detección y respuesta de amenazas en tiempo real para estas aplicaciones esenciales.
En un entorno de recursos limitados, las organizaciones necesitan saber cómo gastar su próximo dólar o la próxima hora de su equipo de seguridad, priorizando parches, cambios de configuración y pruebas. Utilizando soluciones que proporcionen herramientas automatizadas, los equipos de seguridad pueden liberar recursos para tareas más estratégicas y lograr una detección y respuesta continua de amenazas para aplicaciones críticas.
Vulnerabilidad en el NVIDIA Container Toolkit
| Categoría | Seguridad en Contenedores |
| Nombre vulnerabilidad | CVE-2024-0132 |
| Brecha | Escape de contenedores y acceso a datos sensibles |
| Criticidad | |
| Fuente | Info Security |
Una nueva vulnerabilidad descubierta en el NVIDIA Container Toolkit (CVE-2024-0132) podría permitir a los atacantes escapar de entornos contenedorizados y acceder a datos y sistemas sensibles. La vulnerabilidad, descubierta por investigadores de Wiz, afecta tanto a aplicaciones de IA basadas en la nube como a aquellas en instalaciones locales que utilizan el toolkit, el cual es ampliamente utilizado para habilitar el soporte de GPU en contenedores.
Según Wiz, esto expone a las organizaciones al riesgo de brechas de datos, pérdida de control sobre la infraestructura y posible exposición de información de clientes. Los entornos compartidos, como aquellos que usan Kubernetes, son especialmente vulnerables, ya que los atacantes podrían acceder a datos y recursos a través de clústeres enteros.
El toolkit de NVIDIA es un componente crucial para habilitar el uso de GPU dentro de contenedores, que son una piedra angular de los flujos de trabajo modernos de IA. Su adopción generalizada ha convertido esta falla en una preocupación de seguridad significativa, particularmente para desarrolladores de IA y proveedores de servicios en la nube.
Los investigadores de Wiz señalaron que esta vulnerabilidad subraya la necesidad de medidas de seguridad más robustas en infraestructuras de IA. Recomiendan que las organizaciones no confíen únicamente en los contenedores para el aislamiento, instando al uso de capas adicionales como la virtualización para proteger datos y cargas de trabajo sensibles.
NVIDIA emitió un parche para la vulnerabilidad el 26 de septiembre de 2024. Se insta a las organizaciones afectadas a actualizar el NVIDIA Container Toolkit a la versión 1.16.2 y el NVIDIA GPU Operator a la versión 24.6.2. Esto es particularmente crítico para entornos que permiten imágenes de contenedores de terceros o donde los usuarios pueden ejecutar modelos de IA no confiables.
Vulnerabilidad crítica en cámaras Hikvision expone a miles de organizaciones
| Categoría | Seguridad IoT |
| Nombre vulnerabilidad | CVE-2021-36260 |
| Brecha | Inyección de comandos |
| Criticidad | |
| Fuente | Threatpost |
Decenas de miles de cámaras no han parcheado una CVE crítica de hace 11 meses, dejando expuestas a miles de organizaciones. Una nueva investigación indica que más de 80.000 cámaras de vigilancia Hikvision en el mundo son vulnerables a un fallo de inyección de comandos de hace 11 meses. Hikvision, fabricante estatal chino de equipos de videovigilancia, está presente en más de 100 países, incluido Estados Unidos. A pesar de haber sido etiquetado como un «riesgo inaceptable para la seguridad nacional de Estados Unidos» por la FCC en 2019, las cámaras Hikvision siguen siendo ampliamente utilizadas.
La vulnerabilidad, CVE-2021-36260, recibió una calificación «crítica» de 9,8 sobre 10 por parte del NIST. A pesar de la gravedad y casi un año desde su revelación, más de 80.000 dispositivos siguen sin parchear. Los investigadores han encontrado múltiples casos de hackers que colaboran para explotar estas cámaras en foros rusos de la dark web. El alcance de los daños no está claro, pero los grupos de amenazas chinos y rusos podrían explotar estas vulnerabilidades por motivos geopolíticos.
David Maynor, director senior de inteligencia de amenazas de Cybrary, destacó que las cámaras Hikvision han sido vulnerables debido a problemas sistémicos y credenciales predeterminadas. No existe una forma eficaz de realizar análisis forenses o verificar si un atacante ha sido eliminado. Paul Bischoff, de Comparitech, añadió que los dispositivos IoT, como las cámaras, no son tan fáciles de proteger como las aplicaciones de los teléfonos, y es posible que muchos usuarios nunca actualicen sus dispositivos. Los problemas de visibilidad y supervisión hacen que sea incierto si estas cámaras estarán protegidas o cuándo lo estarán.
__