Noticias de Ciberseguridad: Boletín semanal 18-24 de julioElevenPaths 24 julio, 2020 Nueva campaña de Emotet tras cinco meses Tras meses de inactividad, Emotet ha reaparecido con el envío masivo de correos electrónicos de cadena de respuestas y el pago de facturas, entre otros, que incluyen adjuntos documentos Word maliciosos, dirigidos a usuarios en todo el mundo. El investigador Joseph Roosen declaró que la botnet de Emotet estaría distribuyendo cantidades masivas de spam, los cuales incluyen documentos maliciosos con URLs actualizadas, normalmente de sitios de WordPress vulnerados. Una vez que la víctima se infecta, el malware desplegaría más módulos que permitirían el robo del correo de la víctima, la propagación a otros equipos o el uso del equipo infectado para enviar spam. Más detalles: https://blog.malwarebytes.com/trojans/2020/07/long-dreaded-emotet-has-returned/ Incidente de ransomware contra Blackbaud La compañía Blackbaud, proveedora de software y de almacenamiento en la nube, ha comunicado que ha sido víctima de un incidente de ransomware aún sin identificar. Según la empresa, el pasado mes de mayo agentes amenaza realizaron una intrusión en su red interna con el objetivo de desplegar un ransomware en ella. A raíz de estos hechos, el equipo de seguridad logró evitar el cifrado de los archivos pertenecientes a Blackbaud expulsando de la red a dichos actores maliciosos. Sin embargo, antes de repeler el ataque, los cibercriminales consiguieron robar la información de un pequeño subconjunto de clientes, los cuales han sido ya notificados. Consecuentemente, estos atacantes han amenazado ya con publicar la información sustraída a menos que se pague un rescate por los archivos. Desde la compañía han asegurado que cumplirán con estas demandas y que pagarán por la eliminación de dichos datos. Este incidente se suma a la tendencia actual de doble extorsión que caracteriza a este tipo de ataques en la que no solo se cifra la información, sino que se roba y se exige un pago tanto para descifrarla como para no hacer pública la documentación. Toda la información: https://www.blackbaud.com/securityincident Exploit para vulnerabilidad RCE en SharePoint El investigador de seguridad Steven Seeley ha publicado los detalles de cómo se puede aprovechar la vulnerabilidad crítica CVE-2020-1147 en SharePoint para obtener la capacidad de ejecutar código de forma remota como un usuario con pocos privilegios. En este caso, Seeley ha demostrado como, haciendo uso de objetos de tipo DataSet, se puede lograr la ejecución de código al aprovecharse del método «LosFormatter.Deserialize». Para ello, habría que crear un payload en base64. Una vez hecho esto, se podría añadir este payload a un DataSet específico y conseguir de este modo la ejecución remota de código en el servidor SharePoint víctima. Esta táctica podría ser utilizada contra otras aplicaciones .NET, por lo que aunque no se disponga de servidores SharePoint instalados, el usuario podría verse afectado de todos modos. Más: https://srcincite.io/blog/2020/07/20/sharepoint-and-pwn-remote-code-execution-against-sharepoint-server-abusing-dataset.html Campañas de phishing alojadas en servicios en la nube El equipo de investigadores de CheckPoint ha realizado una publicación en la que advierten sobre la utilización de servicios en la nube como Google Cloud o Microsoft Azure, para realizar campañas de phishing. En enero de 2020, los investigadores detectaron un documento PDF en Google Drive en el que se facilitaba un enlace a un phishing alojado en los servidores de Google. En este incidente, los agentes amenaza suplantaron una página de inicio de sesión a SharePoint en el que se solicitaba credenciales de usuario o corporativas con el fin de exfiltrar dicha información. Durante todas estas etapas, los usuarios no sospechan ninguna actividad maliciosa, debido a que la página de phishing está alojada en Google Cloud Storage y aparece el protocolo de cifrado HTTPS. Una forma de identificar estos engaños era visualizar el código fuente de la página de phishing, debido a que podría identificarse que la mayoría de los recursos se cargaban desde un sitio web que pertenece a los actores maliciosos. Sin embargo, ataques más recientes revelan que agentes amenaza han comenzado a utilizar Google Cloud Functions, un servicio que permite la ejecución de código en la nube, lo que permite ofuscar los dominios maliciosos de los atacantes. Más información: https://blog.checkpoint.com/2020/07/21/how-scammers-are-hiding-their-phishing-trips-in-public-clouds/ Botnet Emotet difunde malware QakBot El investigador de seguridad Cryptolaemus, ha informado que, tras volver a la actividad recientemente, Emotet ha comenzado a distribuir el malware QakBot. Esta campaña utilizaría como vector de entrada el uso de correos electrónicos para la distribución de dicho malware ofuscado en documentos maliciosos. Cabe destacar que en los últimos días el equipo de MalwareBytes alertó sobre una nueva campaña de Emotet tras cinco meses de inactividad, a la cual tradicionalmente se ha ligado la distribución de otra herramienta maliciosa denominada Trickbot. Sin embargo, este nuevo hallazgo podría evidenciar que habría una nueva tendencia con la distribución de Qakbot, ya que desde Cryptolaemus aseguran haber observado la ausencia de TrickBot en los ataques de Emotet más recientes. Asimismo, los investigadores indicaron que existen antecedentes en cuanto al cambio en la distribución de software malicioso, aunque no ocurre con frecuencia. Uno de estos cambios ya se observó el año pasado, por lo que se considera probable que a futuro se vuelva a utilizar Trickbot y reanuden su tradicional metodología de ataques. Todos los detalles: https://twitter.com/Cryptolaemus1/status/1285579090234400769 Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita el canal de Telegram CyberSecurity Pulse aquí. Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com. Ciberseguridad en pandemia (I): las personasCuatro años de No More Ransom: ElevenPaths, entidad asociada con dos herramientas
Telefónica Tech Boletín semanal de ciberseguridad, 25 de junio — 1 de julio Kaspersky investiga ataques a sistemas de control industrial Investigadores de Kaspersky han investigado una campaña de ataques que se centraba en diversos países del continente asiático, y que estaba dirigida...
Aarón Jornet Cómo funciona Lokibot, el malware que utiliza Machete para robar información y credenciales de acceso Machete es un grupo dedicado al robo de información y el espionaje. Utiliza distintas herramientas, entre las que se encuentra LokiBot.
Nacho Palou Lucía y Marina: #MujeresHacker que se lanzan a la piscina del campus 42 Lucía, experta tech, y Marina, estudiante de 42, comparten su experiencia e intercambian opiniones tras pasar por las Piscina del campus 42 de Telefónica
Telefónica Tech Boletín semanal de ciberseguridad, 18 — 24 de junio Caída de los servicios de Microsoft Office 365 y Cloudflare a nivel mundial A lo largo del pasado martes se vieron interrumpidos múltiples servicios web a nivel mundial. El origen...
Cristina del Carmen Arroyo Siruela Día de la mujer ingeniera: construyendo nuevos caminos El término “ingeniero” proviene del latín, ingenium, en castellano ingenio. Desde hace mucho tiempo, se ha asociado el mundo de la ingeniería con el sexo masculino. Pero ¿es el...
Cristina del Carmen Arroyo Siruela Los ataques más comunes contra las contraseñas y cómo protegerte Una credencial de acceso es básicamente un nombre de usuario y una contraseña asociada a esa persona y a los permisos de accesos que tiene otorgados para una aplicación,...