Boletín semanal de Ciberseguridad, 28 de enero – 3 de febreroTelefónica Tech 3 febrero, 2023 LockBit Green: nueva variante de LockBit Recientemente, investigadores de vx-underground han detectado que los gestores del ransomware LockBit están utilizando una nueva variante de ransomware, denominada LockBit Green. Esta nueva variante sería la tercera empleada por el grupo, tras su inicio con Lockbit Red, y su evolución posterior a LockBit Black (también denominado LockBit 3.0). Varios investigadores han analizado las muestras disponibles de LockBit Green, pudiendo observar que esta nueva variante se basa en el código fuente de Conti. De su análisis destacan que la nota de rescate empleada es la de LockBit 3.0, y que ya no se utiliza la extensión .lockbit, sino una aleatoria, al cifrar los archivos en el sistema de la víctima. Asimismo, por parte del equipo de PRODAFT han compartido Indicadores de Compromiso (IoCs) y una regla Yara de la nueva variante. Más info → * * * GitHub revoca certificados comprometidos para Desktop y Atom Github ha tomado la decisión de revocar una serie de certificados utilizados para sus aplicaciones Desktop y Atom después de que se vieran comprometidos en un incidente de seguridad en diciembre. Según la propia compañía, el acceso no autorizado ocurrido en diciembre no habría afectado a los servicios de la plataforma, sin embargo, un grupo de certificados se habría exfiltrado como resultado. Estos certificados están protegidos por contraseña, y por el momento no se habría detectado ningún uso malicioso de los mismos. La anulación de estos certificados invalidará las versiones de GitHub Desktop para Mac 3.0.2 a 3.1.2 y Atom 1.63.0 a 1.63.1. Se recomienda a los usuarios de estas versiones actualizar a la más reciente en caso de Desktop, y volver a versiones anteriores en caso de Atom. Los cambios entrarán en vigor el día 2 de febrero. Más info → * * * PoC disponible para vulnerabilidad en KeePass KeePass ha descubierto recientemente una vulnerabilidad en su software para la cual ya se ha lanzado un PoC. El fallo, identificado como CVE-2023-24055, permite a los actores amenaza con acceso de escritura en un sistema, alterar el archivo de configuración XML e inyectar malware para exportar la base de datos con los usuarios y contraseñas en texto plano. Cuando un usuario accede a KeePass e introduce la contraseña maestra para abrir la base de datos, se activa en segundo plano la regla de exportación y el contenido se guarda en un archivo al cual tienen acceso los atacantes. Si bien KeePass describió el problema en 2019 sin calificarlo como vulnerabilidad, los usuarios solicitan que el producto incluya un mensaje de confirmación antes de exportar o poder deshabilitar la función. Desde Bleeping Computer recomiendan asegurarse de que los usuarios sin privilegios no tengan acceso a ningún archivo de la aplicación y crear un archivo de configuración. Más info → * * * Dos nuevas vulnerabilidades en dispositivos CISCO Investigadores de Trellix han alertado de dos vulnerabilidades en dispositivos Cisco. La primera de ellas, identificada como CVE-2023-20076 y con un CVSS según fabricante de 7.2, permitiría a un atacante no autenticado inyectar comandos de forma remota en diversos dispositivos. El segundo error, por ahora identificado con el ID de error de Cisco CSCwc67015, permitiría a un atacante ejecutar código de forma remota y sobrescribir archivos existentes. Si bien ambos fallos se identificaron originalmente en los routers de Cisco ISR 4431, afectarían igualmente a otros dispositivos: 800 Series Industrial ISRs, CGR1000 Compute Modules, IC3000 Industrial Compute Gateways, dispositivos basados en IOS-XE configurados con IOx; routers IR510 WPAN Industrial y Cisco Catalyst Access points (COS-APs). Cisco habría lanzado actualizaciones de seguridad para la primera vulnerabilidad mencionada, y los investigadores urgen a las organizaciones afectadas a actualizar a la última versión de firmware disponible, además de deshabilitar el framework IOx de no ser necesario su uso. Más info → * * * Campaña de Lazarus contra empresas energéticas y del sector sanitario La empresa WithSecure ha publicado una extensa investigación sobre la última campaña de la APT Lazarus, supuestamente respaldada por Corea del Norte. La campaña ha recibido el nombre de “No Pineapple!” y en ella el grupo ha conseguido robar 100GB de datos de empresas de investigación médica, ingeniería y energía, entre otras. Según WithSecure Lazarus aprovechó las vulnerabilidades CVE-2022-27925 y CVE-2022-37042 en Zimbra para colocar una webshell en el servidor de correo de las víctimas. Una vez dentro del sistema usaron diversas herramientas como el backdoor Dtrack y una nueva versión del malware GREASE, que abusa de la vulnerabilidad PrintNightmare. WithSecure pudo atribuir la campaña a Lazarus, además de por repetir TTPs asociadas al grupo, gracias a que descubrió que las webshells se comunicaban con una IP localizada en Corea del Norte. Más info (PDF) → Foto de apertura: Brecht Corbeel / Unsplash Ciberseguridad en el cine: mito vs. realidad con 10 ejemplosEl papel del “Threat Hunting” como acelerante en la respuesta a incidentes ransomware
Telefónica Tech Boletín semanal de Ciberseguridad, 18 – 24 de marzo HinataBot: nueva botnet dedicada a ataques de DDoS El equipo de investigadores de Akamai ha publicado un informe en el que señala que han identificado una nueva botnet denominada HinataBot que dispondría...
Telefónica Tech Qué es el Esquema Nacional de Seguridad (ENS 2.0) La Ciberseguridad, la privacidad y la protección de los datos y de la información sensible son aspectos cada vez más importantes en la sociedad actual. Tanto para empresas y...
Nacho Palou 5G: cuatro casos de uso reales y prácticos El último informe “La Sociedad Digital en España 2022” [1] de Fundación Telefónica confirma la consolidación de los procesos de digitalización en la sociedad española. En este sentido, cabe...
Susana Alwasity Ciberseguridad: eventos “cisne negro” en un mundo conectado En la sociedad actual, la tecnología ha transformado la forma en que vivimos, trabajamos y nos relacionamos. Con el aumento del uso de dispositivos y redes conectados a internet,...
Telefónica Tech Boletín semanal de Ciberseguridad, 11 – 17 de marzo Nueva versión del troyano bancario Xenomorph Investigadores de ThreatFabric han detectado una nueva variante del troyano bancario para Android Xenomorph. Esta familia de malware fue detectada por primera vez en febrero...
Gonzalo Álvarez Marañón Matemáticas contra el cibercrimen: cómo detectar fraude, manipulaciones y ataques aplicando la Ley de Benford Cómo aplicar la ley de Benford para luchar contra el cibercrimen. La respuesta, en este post que utiliza las matemáticas para ayudar a la ciberseguridad.
