Boletín semanal de ciberseguridad, 8 — 19 de agosto

Telefónica Tech    19 agosto, 2022
Foto: Persnickety Prints / Unsplash

Google informa del mayor ataque DDoS de la historia​

Investigadores de Google han informado acerca del mayor ataque de DDoS jamás registrado hasta el momento. En concreto, el pasado 1 de junio, un cliente de Google Cloud Armor recibió una serie de ataques HTTPs DDoS, que alcanzaron los 46 millones de solicitudes por segundo (RPS).

Este ataque DDoS de capa 7 se ha convertido en el mayor ataque de este tipo, siendo un 76% más grande que el mayor ataque conocido hasta la fecha.

Según los investigadores, el ataque se ejecutó desde 5.256 direcciones IP distribuidas en 132 países, aprovechándose de las solicitudes cifradas (HTTPS). Asimismo, de las solicitudes, el 3% se ejecutó desde nodos de salida de la red Tor.

Los investigadores han determinado que la distribución geográfica y los tipos de servicios no seguros aprovechados para generar el ataque coinciden con la familia de ataques de la botnet Mēris.

El ataque duró aproximadamente 69 minutos y se detuvo cuando, según creen los investigadores, el actor se habría percatado de que el ataque no estaba teniendo el impacto esperado teniendo en cuenta los recursos empleados. Desde Cloud Armor se pudo bloquear el ataque, pudiendo mantener la víctima sus servicios en línea.

​​Más info

* * *

Cisco sufre un incidente de ciberseguridad

Cisco ha emitido un comunicado en el que confirma que, a finales de mayo, el día 24, fue víctima de un compromiso de datos. Según indica la empresa, el vector de entrada fue el robo de las credenciales de Google de un empleado almacenadas en el navegador.

Mediante ingeniería social y ataques de phishing consiguieron que el empleado aceptase notificaciones multifactor maliciosas, accediendo así a la VPN corporativa y elevando privilegios desde la misma.

Asimismo, la autoría se la ha atribuido el grupo Yanluowang ransomware, que confirma que la brecha de datos alcanza 2,75GB de información repartidos en 3.100 archivos a través de un mail enviado a Bleeping Computer, asegurando su autoría y aportando pruebas.

Por otra parte, desde Cisco indican que los atacantes solo pudieron robar datos no sensibles de una carpeta vinculada a la cuenta del empleado comprometido, añadiendo que no encontraron evidencias de que hayan conseguido acceder a documentación interna de carácter crítico como la relacionada con el desarrollo de productos, datos sensibles de clientes o empleados, y afirma que no se habría llegado a desplegar el ransomware ya que no han sufrido cifrado de ninguno de sus datos. 

Más info → 

* * *

Corregidas 11 vulnerabilidades en Chrome

Google ha lanzado la versión 104.0.5112.101 de Stable Channel para Mac y Linux, y la versión 104.0.5112.102/101 para Windows, donde se corrigen un total de 11 vulnerabilidades.

De entre estas vulnerabilidades cabe destacar la catalogada como CVE-2022-2856, debido a que se habría detectado su explotación activa. Esta vulnerabilidad fue descubierta por los investigadores de Google Threat Analysis Group, Ashley Shen y Christian Resell, y se trata de unavalidación insuficiente de los inputs no confiables en Intents.

Por otro lado, también cabe destacar la vulnerabilidad CVE-2022-2852, ya que ha sido catalogada como crítica. Esta vulnerabilidad fue descubierta por Sergei Glazunov de Google Project Zero, siendo un fallo de use after free en FedCM.

Por el momento Google no ha ofrecido más detalles de las vulnerabilidades con el fin de permitir que la mayoría de los usuarios realicen la actualización.

Más info → 

* * *

Microsoft alerta de campañas de phishing en curso del actor SEABORGIUM

Investigadores del Microsoft Threat Intelligence Center (MSTIC) han publicado un aviso en el que advierte de nuevas campañas de phishing realizadas por el actor amenaza SEABORGIUM, también conocido como ColdRiver o TA446.

Estas campañas estarían dirigidas principalmente a organizaciones e integrantes de la OTAN con el fin de obtener información confidencial, si bien desde Microsoft han detectado ataques contra países del Báltico, Nórdicos y Europa del Este.

SEABORGIUM dirige principalmente sus ataques contra empresas de defensa e inteligencia, organizaciones no gubernamentales (ONG) y organizaciones intergubernamentales (OIG), think tanks y educación superior.

Para llevar a cabo el robo de credenciales, los operadores de SEABORGIUM utilizan ingeniería social para engañar a sus víctimas con perfiles fraudulentos en redes sociales, que finalmente terminan con el envío de correos electrónicos de phishing con URLs o archivos adjuntos maliciosos donde la víctima introduce sus credenciales.

Más info → 

* * *

Nuevo ransomware GwisinLocker

Investigadores de seguridad han localizado una nueva familia de ransomware, llamada GwisinLocker, dirigido a empresas de salud, industriales y farmacéuticas de Corea del Sur, con capacidad de cifrar servidores Windows y Linux, incluidos servidores ESXi y máquinas virtuales.

Operado por el actor amenaza Gwisin, que significa «fantasma» o «espíritu» en coreano, se especula, por los datos de las notas de rescate, podría estar en manos de un grupo de amenaza persistente avanzada (APT) vinculado a Corea del Norte.

En dispositivos Windows, la infección se inicia con la ejecución de un instalador MSI que precisa de parámetros especiales en la consola de comandos para ejecutar el archivo DLL incluido en el propio MSI. Este DLL llevará a cabo acciones de cifrado al inyectarse en un proceso del sistema de Windows, consiguiendo de este modo evadir la detección de los sistemas antivirus.

Asimismo, admite una función para cifrar archivos en modo seguro. Para la versión de Linux, la muestra analizada apunta a que se trataría de un sofisticado malware con características especialmente diseñadas para gestionar servidores Linux y que tiene como objetivo las máquinas virtuales VMware ESXi.

Cabe destacar que GwisinLocker combina el cifrado de clave simétrica AES con el hash SHA256, generando una clave única para cada archivo.

​​​Más info→ 

Deja una respuesta

Tu dirección de correo electrónico no será publicada.