Boletín semanal de ciberseguridad 16-22 octubreTelefónica Tech 22 octubre, 2021 Zerodium interesado en adquirir 0-days de software VPN para Windows La empresa de seguridad de la información Zerodium ha informado de su voluntad de comprar vulnerabilidades 0-day dirigidas al software de servicios VPN para sistemas Windows: ExpressVPN, NordVPN y Surfshark. La empresa ha mostrado interés en aquellos exploits que puedan revelar información personal de los usuarios, fugas de IPs o permitir la ejecución remota de código. Cabe recordar que Zerodium es conocido por la compra de 0-days en diferentes aplicaciones que vende posteriormente a agencias policiales y gubernamentales, por lo que el objetivo de estas nuevas adquisiciones es fácilmente identificable. Sin embargo, este hecho ha generado cierta controversia, tal y como ha recogido The Record, ya que muchos usuarios utilizan aplicaciones VPN para preservar su privacidad en países con regímenes opresores, y se desconoce quiénes son los clientes finales a quien Zerodium vende su tecnología. Por el momento, ninguna de las compañías proveedoras de VPN se ha pronunciado al respecto. Más información: https://twitter.com/Zerodium/status/1450528730678444038 LightBasin: la amenaza contra compañías del sector de las telecomunicaciones Investigadores de CrowdStrike han publicado un nuevo análisis acerca del actor amenaza conocido como LightBasin o UNC1945, distinguido por atentar contra compañías del sector de las telecomunicaciones desde 2016. Relacionado con intereses chinos, LightBasin suele seleccionar como objetivo en sus operaciones sistemas Linux o Solaris, por estar altamente relacionados con su sector predilecto. CrowdStrike ha observado nuevas Técnicas, Tácticas y Procedimientos (TTPs) asociadas a este grupo. Ejemplo de ellas, es que LightBasin habría aprovechado servidores DNS externos (eDNS) para propagar sus operaciones, o TinyShell, un software de emulación SGSN open-source, para canalizar el tráfico del servidor C2. Cabe destacar que los eDNS son una pieza fundamental en las redes de radiofrecuencia (GPRS) empleadas para el roaming entre los diferentes operadores móviles. Los investigadores señalan el alto conocimiento en redes y protocolos de este grupo, afirmando que LightBasin habría comprometido al menos trece compañías de telecomunicaciones tan solo en el año 2019. Más información aquí: https://www.crowdstrike.com/blog/an-analysis-of-lightbasin-telecommunications-attacks/ RedLine Stealer: fuente principal de datos de dos markets de la Dark Web La división de investigación de ciberseguridad de Recorded Future, Inskirt Group, ha publicado un informe donde identifica al malware RedLine Stealer como la fuente principal de credenciales robadas que son comercializadas en dos markets de la Dark Web: Amigos Market y Russian Market. RedLine Stealer es un infostealer que tiene la capacidad de recopilar credenciales de clientes FTP, de inicio de sesión en navegadores web, aplicaciones de correo, así como extraer cookies de autenticación y números de tarjetas guardados en los navegadores de los dispositivos infectados. Durante la investigación, el equipo de Inskirt Group detectó la publicación de listados idénticos en ambos mercados de manera simultánea, que contenían la misma información sustraída a las víctimas, y que superaba con creces a las aportaciones de otros malware en ambos foros. Además, cabe destacar que, aunque Redline Stealer fue desarrollado por el actor amenaza REDGlade, actualmente se están distribuyendo varias versiones, similares a la original, que han generado una mayor expansión de este. Lee la información completa aquí: https://go.recordedfuture.com/hubfs/reports/mtp-2021-1014.pdf Vulnerabilidad en WinRAR Investigadores de Positive Technologies han descubierto una nueva vulnerabilidad en la versión de prueba del software de compresión de datos WinRAR para Windows. El fallo, que ha recibido el identificador CVE-2021-35053, podría permitir a un atacante interceptar y modificar las peticiones enviadas al usuario de la aplicación, lo que podría emplearse para ejecutar código de forma remota en el equipo de la víctima. En concreto, los investigadores descubrieron que interceptando el código de respuesta que se envía cuando WinRAR alerta a los usuarios del fin del periodo de prueba, y modificándolo a un mensaje “301 Moved Permanently”, la redirección al dominio malicioso controlado por el atacante es cacheada y ya todas las peticiones se redirigen a este. Una vez el atacante tiene acceso al mismo dominio de red, ya puede realizar acciones como iniciar aplicaciones de forma remota, recuperar información del host local o incluso ejecutar código arbitrario. Cabe destacar que la vulnerabilidad afecta al software en la versión 5.70, y ha sido corregido en la versión 6.02 de WinRAR, lanzada el pasado 14 de junio. Toda la información: https://swarm.ptsecurity.com/winrars-vulnerable-trialware-when-free-software-isnt-free/ SmashEx – Vulnerabilidad en Intel SGX Investigadores de diferentes universidades de China, Singapur y Suiza han descubierto una vulnerabilidad en Intel Software Guard Extensions, también conocido como Intel SGX, una característica de seguridad basada en hardware presente en la mayoría de los procesadores de Intel actuales, que permite a un sistema operativo o aplicación asignar regiones privadas de memoria, denominadas enclaves, para aislar la información y protegerse de procesos que se ejecutan a niveles de privilegios más altos. El fallo, denominado SmashEx, permitiría al atacante acceder a la información almacenada en estos enclaves y ejecutar código arbitrario. Según los investigadores, habrían conseguido explotar dos sistemas SGX en tiempo de ejecución ampliamente utilizados: Intel SGX SDK y Microsoft Open Enclave, que ejecutan las librerías OpenSSL y cURL, respectivamente. Por su parte, Intel y Microsoft han lanzado parches de seguridad para corregir estos fallos en sus respectivos SDKs, Intel SGX SDK (CVE-2021-0186) y Open Enclave SDK (CVE-2021-33767). Sin embargo, el fallo afecta a otros SDKs de desarrolladores como Google, Apache o ARM que todavía no han solventado el problema. Más información: https://arxiv.org/ftp/arxiv/papers/2110/2110.06657.pdf Boletín semanal de ciberseguridad 9-15 octubreCrónica de la participación en el 15 ENISE: “New Visions”
Aarón Jornet Evolución de las técnicas de Spear-Phishing de los grupos criminales más conocidos y qué malware utilizan En los últimos años se han ido metabolizando diferentes campañas y amenazas cuyo vector de entrada ha sido el mismo, el correo electrónico. Este acceso inicial, que siempre parece...
Mercedes Núñez España, pionera en la UE en implantar el reconocimiento de voz con inteligencia artificial entre jueces y magistrados Ayer un compañero escribía del reconocimiento de voz con inteligencia artificial como una tecnología consolidada, que permite convertir el dictado en texto escrito. Es decir, “escribir a viva voz”. Todos...
Open Future Estas son las 8 profesiones del futuro El gran desarrollo tecnológico de los últimos años ha modificado el escenario laboral, haciendo que las empresas requieran de personas con nuevas competencias y habilidades, sobre todo en el...
Telefónica Tech Boletín semanal ciberseguridad 19 – 25 de marzo Vulnerabilidad de elevación de privilegios en Western Digital El investigador independiente de seguridad, Xavier Danest, ha reportado una vulnerabilidad de escalada de privilegios en EdgeRover. Cabe resaltar que EdgeRover es...
Blanca Montoya Gago El papel de los PERTE en la sociedad del futuro Los proyectos estratégicos para la recuperación y transformación económica (PERTE) son una nueva figura dentro del Plan de Recuperación, Transformación y Resiliencia. Se definen como iniciativas que suponen un...
Blanca Montoya Gago Claves para comprender qué es un IPCEI Cuando hablamos de IPCEI nos referimos a Proyectos Importantes de Interés Común Europeo, que son diseñados para agrupar a los sectores público y privado con el objetivo iniciar proyectos...