Boletín semanal de ciberseguridad 9-15 octubre

Telefónica Tech    15 octubre, 2021

​​​​Boletín de seguridad de Microsoft

Microsoft ha publicado su boletín de seguridad correspondiente al mes de octubre en el que ha corregido un total de 81 fallos en su software, incluyendo 4 vulnerabilidades 0-day. De los 81 fallos, 3 han sido categorizadas con severidad crítica. El primer 0-day, categorizado como CVE-2021-40449 y con CVSS de 7.8, es un fallo de elevación de privilegios que, según los investigadores de Kaspersky, habría sido explotada para llevar a cabo ataques en campañas contra empresas IT, militares y entidades diplomáticas. El segundo 0-day (CVE-2021-40469 y CVSS de 7.2) es una vulnerabilidad de ejecución remota de código en Windows DNS Server. El tercero (CVE-2021-41335 y CVSS de 7.8) se trata de un fallo de elevación de privilegios en el kernel de Windows; y, por último, categorizado como CVE-2021-41338 y con CVSS de 5.5, se encuentra una vulnerabilidad de evasión de seguridad en Windows AppContainer Firewall. Por otro lado, los 3 fallos de severidad crítica corregidos corresponden a vulnerabilidades de ejecución remota de código, dos de ellos en Windows Hyper-V (CVE-2021-38672 y CVE-2021-40461) y el restante (CVE-2021-40486) en Microsoft Word. Se recomienda aplicar las actualizaciones de seguridad lo antes posible.

Información completa: https://msrc.microsoft.com/update-guide/releaseNote/2021-Oct

​​Vulnerabilidad en plataformas NFT de OpenSea permiten robar carteras de criptomonedas

Investigadores de Check Point han detectado que actores maliciosos podrían vaciar carteras de criptomonedas a través de plataformas NFT maliciosas en OpenSea, uno de los mayores mercados digitales para la compraventa de activos criptográficos. Esta plataforma, activa desde el 2018, cuenta con un total de 24 millones de NFT (tokens no fungibles), llegando a registrar un volumen de hasta 3.400 millones de dólares solo en agosto de 2021. El método de ataque empleado consiste en crear un NFT en el que el agente amenaza incluye un payload malicioso para, posteriormente, distribuirlo a las víctimas. Varios usuarios reportaron que sus carteras se habrían vaciado después de recibir supuestos regalos en el mercado OpenSea, una táctica de marketing conocida como “airdropping” empleada para promocionar nuevos activos virtuales. Desde CheckPoint identificaron que la plataforma permite la subida de archivos con múltiples extensiones (JPG, PNG, GIF, SVG, MP4, WEBM, MP3, WAV, OGG, GLB, GLTF), por lo que hicieron una prueba para reproducir el escenario del ataque, subiendo un SVG con un payload malicioso utilizado para conseguir vaciar las carteras de las posibles víctimas. Los fallos reportados ya han sido corregidos.

Más info: https://research.checkpoint.com/2021/check-point-research-prevents-theft-of-crypto-wallets-on-opensea-the-worlds-largest-nft-marketplace/

​​Ciberataques contra sistemas de tratamiento de aguas

La Agencia de Ciberseguridad e Infraestructuras estadounidense (CISA) ha emitido una nueva alerta concerniente a ciberataques contra instalaciones de procesamiento de agua potable y aguas residuales. La actividad observada incluye intentos de comprometer la integridad de los sistemas mediante accesos no autorizados llevados a cabo tanto por actores amenaza conocidos como desconocidos. La nota apunta también a deficiencias conocidas en entidades de este sector como es su susceptibilidad ante ataques de spear-phishing, la explotación de software y sistemas de control obsoletos y no soportados, así como la explotación de sistemas de acceso remoto. En el transcurso de 2021, se han producido diversos incidentes relevantes que encajarían en este esquema, como la identificación en agosto de muestras de ransomware pertenecientes a las familias Ghost y ZuCaNo en los sistemas SCADA de plantas en California, Nevada y Maine. Igualmente, cabe recordar el incidente ocurrido en febrero en una planta de tratamiento de aguas de Florida donde un actor amenaza logró modificar los volúmenes de productos químicos vertidos en las cubetas de potabilización.

Todos los detalles: https://us-cert.cisa.gov/ncas/alerts/aa21-287a

​Aumentan en un 33% las advertencias de Google sobre ataques respaldados por gobiernos

El equipo de Threat Analysis Group (TAG) de Google ha publicado información relativa a la cantidad de advertencias generadas por su sistema de alerta “Security warnings for suspected state-sponsored attacks” iniciado en 2012. En concreto, en el transcurso de 2021 este sistema ha enviado más de 50.000 advertencias a usuarios, lo que supone un aumento del 33% respecto al mismo periodo del 2020. Según Google, este servicio monitoriza más de 270 grupos de atacantes en 50 países diferentes, generando avisos en el momento que se detectan intentos de phishing, distribución de malware o ataques de fuerza bruta cuyo origen tenga relación con la infraestructura de actores amenaza respaldados por gobiernos conocidos como Privateers. Durante 2021 Google destaca dos actores amenaza sobre el resto, atendiendo al impacto provocado por sus campañas centradas en activistas, periodistas, funcionarios gubernamentales o trabajadores de estructuras de seguridad nacional, identificados como APT28 o «Fancy Bear» con el apoyo de Rusia y APT35 o «Charming Kitten», un actor amenaza iraní activo desde al menos 2014. Adicionalmente, la publicación señala que en el caso de recibir una alerta de este tipo significa que la cuenta se considera como un “objetivo” y no necesariamente implica que haya sido comprometida, por lo que animan a los usuarios a inscribirse a este servicio o habilitar en su defecto el doble factor de autenticación en sus cuentas.

Más: https://blog.google/threat-analysis-group/countering-threats-iran/

​​​​TrickBot duplica y diversifica sus esfuerzos de infección

Investigadores de IBM han rastreado la actividad del grupo ITG23, también conocido como TrickBot Gang y Wizard Spider, tras observar un incremento en la expansión de los canales de distribución utilizados para infectar a las organizaciones y empresas con Trickbot y BazarLoader, muestras empleadas para organizar ataques dirigidos de ransomware y extorsión. Tras los análisis realizados, IBM estima que este incremento podría haber contribuido al pico de actividad del ransomware Conti alertado por la CISA el pasado septiembre.  Asimismo, los investigadores han asociado a ITG23 con dos grupos afiliados a la distribución de malware como Hive0106 (también conocido como TA551) y Hive0107. Estos se caracterizan por perpetran ataques con el objetivo de infectar redes corporativas con malware, utilizando técnicas como el secuestro de hilos de correo electrónico, uso de formularios de respuesta de atención al cliente falsos, además del uso de call centers undeground empleados en campañas de BazarCall. Estas TTPs estarían desencadenando en un incremento de intentos de infección por parte de estos grupos.  

Descubre más: https://securityintelligence.com/posts/trickbot-gang-doubles-down-enterprise-infection/

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *