Noticias de Ciberseguridad: Boletín semanal 18-24 de julioElevenPaths 24 julio, 2020 Nueva campaña de Emotet tras cinco meses Tras meses de inactividad, Emotet ha reaparecido con el envío masivo de correos electrónicos de cadena de respuestas y el pago de facturas, entre otros, que incluyen adjuntos documentos Word maliciosos, dirigidos a usuarios en todo el mundo. El investigador Joseph Roosen declaró que la botnet de Emotet estaría distribuyendo cantidades masivas de spam, los cuales incluyen documentos maliciosos con URLs actualizadas, normalmente de sitios de WordPress vulnerados. Una vez que la víctima se infecta, el malware desplegaría más módulos que permitirían el robo del correo de la víctima, la propagación a otros equipos o el uso del equipo infectado para enviar spam. Más detalles: https://blog.malwarebytes.com/trojans/2020/07/long-dreaded-emotet-has-returned/ Incidente de ransomware contra Blackbaud La compañía Blackbaud, proveedora de software y de almacenamiento en la nube, ha comunicado que ha sido víctima de un incidente de ransomware aún sin identificar. Según la empresa, el pasado mes de mayo agentes amenaza realizaron una intrusión en su red interna con el objetivo de desplegar un ransomware en ella. A raíz de estos hechos, el equipo de seguridad logró evitar el cifrado de los archivos pertenecientes a Blackbaud expulsando de la red a dichos actores maliciosos. Sin embargo, antes de repeler el ataque, los cibercriminales consiguieron robar la información de un pequeño subconjunto de clientes, los cuales han sido ya notificados. Consecuentemente, estos atacantes han amenazado ya con publicar la información sustraída a menos que se pague un rescate por los archivos. Desde la compañía han asegurado que cumplirán con estas demandas y que pagarán por la eliminación de dichos datos. Este incidente se suma a la tendencia actual de doble extorsión que caracteriza a este tipo de ataques en la que no solo se cifra la información, sino que se roba y se exige un pago tanto para descifrarla como para no hacer pública la documentación. Toda la información: https://www.blackbaud.com/securityincident Exploit para vulnerabilidad RCE en SharePoint El investigador de seguridad Steven Seeley ha publicado los detalles de cómo se puede aprovechar la vulnerabilidad crítica CVE-2020-1147 en SharePoint para obtener la capacidad de ejecutar código de forma remota como un usuario con pocos privilegios. En este caso, Seeley ha demostrado como, haciendo uso de objetos de tipo DataSet, se puede lograr la ejecución de código al aprovecharse del método «LosFormatter.Deserialize». Para ello, habría que crear un payload en base64. Una vez hecho esto, se podría añadir este payload a un DataSet específico y conseguir de este modo la ejecución remota de código en el servidor SharePoint víctima. Esta táctica podría ser utilizada contra otras aplicaciones .NET, por lo que aunque no se disponga de servidores SharePoint instalados, el usuario podría verse afectado de todos modos. Más: https://srcincite.io/blog/2020/07/20/sharepoint-and-pwn-remote-code-execution-against-sharepoint-server-abusing-dataset.html Campañas de phishing alojadas en servicios en la nube El equipo de investigadores de CheckPoint ha realizado una publicación en la que advierten sobre la utilización de servicios en la nube como Google Cloud o Microsoft Azure, para realizar campañas de phishing. En enero de 2020, los investigadores detectaron un documento PDF en Google Drive en el que se facilitaba un enlace a un phishing alojado en los servidores de Google. En este incidente, los agentes amenaza suplantaron una página de inicio de sesión a SharePoint en el que se solicitaba credenciales de usuario o corporativas con el fin de exfiltrar dicha información. Durante todas estas etapas, los usuarios no sospechan ninguna actividad maliciosa, debido a que la página de phishing está alojada en Google Cloud Storage y aparece el protocolo de cifrado HTTPS. Una forma de identificar estos engaños era visualizar el código fuente de la página de phishing, debido a que podría identificarse que la mayoría de los recursos se cargaban desde un sitio web que pertenece a los actores maliciosos. Sin embargo, ataques más recientes revelan que agentes amenaza han comenzado a utilizar Google Cloud Functions, un servicio que permite la ejecución de código en la nube, lo que permite ofuscar los dominios maliciosos de los atacantes. Más información: https://blog.checkpoint.com/2020/07/21/how-scammers-are-hiding-their-phishing-trips-in-public-clouds/ Botnet Emotet difunde malware QakBot El investigador de seguridad Cryptolaemus, ha informado que, tras volver a la actividad recientemente, Emotet ha comenzado a distribuir el malware QakBot. Esta campaña utilizaría como vector de entrada el uso de correos electrónicos para la distribución de dicho malware ofuscado en documentos maliciosos. Cabe destacar que en los últimos días el equipo de MalwareBytes alertó sobre una nueva campaña de Emotet tras cinco meses de inactividad, a la cual tradicionalmente se ha ligado la distribución de otra herramienta maliciosa denominada Trickbot. Sin embargo, este nuevo hallazgo podría evidenciar que habría una nueva tendencia con la distribución de Qakbot, ya que desde Cryptolaemus aseguran haber observado la ausencia de TrickBot en los ataques de Emotet más recientes. Asimismo, los investigadores indicaron que existen antecedentes en cuanto al cambio en la distribución de software malicioso, aunque no ocurre con frecuencia. Uno de estos cambios ya se observó el año pasado, por lo que se considera probable que a futuro se vuelva a utilizar Trickbot y reanuden su tradicional metodología de ataques. Todos los detalles: https://twitter.com/Cryptolaemus1/status/1285579090234400769 Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita el canal de Telegram CyberSecurity Pulse aquí. Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com. Ciberseguridad en pandemia (I): las personasCuatro años de No More Ransom: ElevenPaths, entidad asociada con dos herramientas
Daniel Pous Montardit Resiliencia, clave en sistemas Cloud-Native En el primer post de la serie Cloud-Native, ¿Qué significa que mi software sea Cloud Native?, presentamos la resiliencia como uno de los atributos fundamentales que nos ayudan a...
Telefónica Tech Boletín semanal de Ciberseguridad, 21 – 27 de enero Killnet apunta contra objetivos en España Esta semana el grupo hacktivista Killnet anunció una campaña de ataques contra Alemania, dando lugar a la realización de ataques de Denegación de Servicio...
Gonzalo Fernández Rodríguez ¿Qué significa que mi aplicación sea Cloud Native? El término Cloud Native es algo que va más allá de mover las aplicaciones alojadas en un data center a una infraestructura proporcionada por un proveedor Cloud, sea Cloud...
Telefónica Tech Boletín semanal de Ciberseguridad, 14 – 20 de enero Vulnerabilidades críticas en los router Netcomm y TP-Link Se han descubierto una serie de vulnerabilidades en los routers Netcomm y TP-Link. Por un lado, los fallos, identificados como CVE-2022-4873 y CVE-2022-4874, se tratan de un...
Jorge Rubio Álvarez Consecuencias de un ciberataque en entornos industriales Podemos encontrar entornos industriales en cualquier tipo de sector que nos podamos imaginar, ya sea en empresas de tratamiento de agua, transporte, farmacéuticas, fabricación de maquinaria, eléctricas, alimentación o...
Telefónica Tech Boletín semanal de Ciberseguridad, 7 – 13 de enero Microsoft corrige 98 vulnerabilidades en su Patch Tuesday Microsoft ha publicado su boletín de seguridad correspondiente con el mes de enero, donde corrige un total de 98 vulnerabilidades. Entre estas...