Boletín semanal de Ciberseguridad, 4 – 10 de marzoTelefónica Tech 10 marzo, 2023 El FBI y la CISA lanzan un aviso para combatir Royal Ransomware El pasado 2 de marzo, el FBI y la CISA lanzaron el Aviso de Seguridad Cibernética #StopRansomware: Royal Ransomware para ayudar a combatir este tipo de ransomware, difundiendo TTPs e IOCs. Desde septiembre de 2022, muchas empresas de distintos sectores de infraestructura crítica como industria, telecomunicaciones, salud, educación, entre otros, han sido vulneradas con esta variante de ransomware. El FBI y la CISA creen que Royal utiliza su propio programa de cifrado de archivos, además, desactivan el antivirus al conseguir acceder a un sistema y filtran los datos antes de implementar finalmente el ransomware. Posteriormente, solicitan rescates de entre uno y once millones de dólares en Bitcoin y en la nota que dejan a las víctimas indicado un sitio .onion para establecer contacto. Se recomienda a las organizaciones implantar las recomendaciones y mitigaciones del aviso para evitar estos ataques. Más info → * * * Hiatus: campaña mundial contra routers empresariales El equipo de Lumen Black Lotus Labs ha identificado una campaña activa dirigida contra routers a nivel empresarial. La campaña, que ha sido denominada como “Hiatus”, llevaría activa desde julio de 2022 siendo sus objetivos routers DrayTek Vigor en los modelos 2960 y 3900 con una arquitectura i386, y que se encuentran al final de su vida útil. Por el momento se desconoce el vector de entrada, si bien, una vez vulnerado el router los actores amenaza implementan un bash script que descarga y ejecuta dos binarios maliciosos: por un lado, HiatusRAT, y por otro una variante de tcpdump para la captura de paquetes. De acuerdo con los investigadores, se habrían detectado al menos 100 víctimas, que habrían pasado a formar parte de la red de bots de los actores maliciosos, estando en su mayoría situadas en Europa, América del Norte y América del Sur. Desde Lumen Black Lotus Labs estiman que los actores amenaza habrían mantenido la campaña en niveles bajos de infección con el fin de evadir la detección al no llamar tanto la atención. Más info → * * * SYS01stealer: nuevo infostealer dirigido contra infraestructuras críticas El equipo de investigadores de Morphisec ha publicado un informe sobre un nuevo infostealer dirigido contra infraestructuras gubernamentales críticas al que han denominado SYS01stealer. En concreto, actores maliciosos tras esta amenaza tratan de dirigir sus acciones contra cuentas corporativas de Facebook mediante el uso de anuncios de Google y perfiles de Facebook falsos que facilitan enlaces de descarga promocionando juegos, contenido para adultos, software, pero que en realidad son maliciosos. Cabe destacar que una vez que la víctima descarga el fichero .zip, y se ejecuta, el archivo procederá a realizar una carga lateral DLL dentro del sistema de la víctima. Los expertos señalan que el objetivo de SYS01stealer consiste en robar cookies del navegador y aprovechar sesiones autenticadas de Facebook para exfiltrar información de la cuenta de Facebook de la víctima. Asimismo, el malware también puede cargar archivos desde el sistema infectado al servidor Command & Control y ejecutar comandos enviados por este. Más info → * * * PoC de malware polimórfico empleando Inteligencia Artificial Investigadores de Hyas han construido una prueba de concepto para la generación de malware polimórfico a través de un modelo de lenguaje de Inteligencia Artificial. El software creado, al que han denominado BlackMamba, es un keylogger polimórfico con la capacidad de modificar su código durante la ejecución, y sin necesidad del uso de infraestructuras de Command & Control (C2). BlackMamba emplea un ejecutable benigno para comunicarse con la API de OpenAI durante su ejecución, que le proporciona el código malicioso necesario para recopilar las pulsaciones del teclado del usuario. Cada vez que el malware se ejecuta, esta capacidad se sintetiza de nuevo, permitiéndole evadir soluciones de seguridad. Según los investigadores, en su análisis con una conocida solución de EDR, no se obtuvo ninguna detección del programa malicioso. La exfiltración de los datos recolectados por el malware en esta prueba se realiza a través de Microsoft Teams, al que accede con las credenciales robadas. Más info → #MujeresHacker de Telefónica Tech: Jess Woods, experta en CloudMi experiencia como voluntario en la iniciativa AulaCibersegura para proteger a los menores en internet
Telefónica Tech Boletín semanal de Ciberseguridad, 18 – 24 de marzo HinataBot: nueva botnet dedicada a ataques de DDoS El equipo de investigadores de Akamai ha publicado un informe en el que señala que han identificado una nueva botnet denominada HinataBot que dispondría...
Telefónica Tech Qué es el Esquema Nacional de Seguridad (ENS 2.0) La Ciberseguridad, la privacidad y la protección de los datos y de la información sensible son aspectos cada vez más importantes en la sociedad actual. Tanto para empresas y...
Nacho Palou 5G: cuatro casos de uso reales y prácticos El último informe “La Sociedad Digital en España 2022” [1] de Fundación Telefónica confirma la consolidación de los procesos de digitalización en la sociedad española. En este sentido, cabe...
Susana Alwasity Ciberseguridad: eventos “cisne negro” en un mundo conectado En la sociedad actual, la tecnología ha transformado la forma en que vivimos, trabajamos y nos relacionamos. Con el aumento del uso de dispositivos y redes conectados a internet,...
Telefónica Tech Boletín semanal de Ciberseguridad, 11 – 17 de marzo Nueva versión del troyano bancario Xenomorph Investigadores de ThreatFabric han detectado una nueva variante del troyano bancario para Android Xenomorph. Esta familia de malware fue detectada por primera vez en febrero...
Gonzalo Álvarez Marañón Matemáticas contra el cibercrimen: cómo detectar fraude, manipulaciones y ataques aplicando la Ley de Benford Cómo aplicar la ley de Benford para luchar contra el cibercrimen. La respuesta, en este post que utiliza las matemáticas para ayudar a la ciberseguridad.
