Noticias de Ciberseguridad: Boletín semanal 25 de abril-8 de mayoElevenPaths 8 mayo, 2020 BazarBackdoor – Nueva puerta trasera de los desarrolladores de TrickBot El investigador Vitali Kremez ha publicado los detalles de una nueva puerta trasera que se vendría distribuyendo en las últimas semanas a través de distintas campañas de phishing con el objetivo de comprometer y ganar acceso total a redes corporativas. Las similitudes entre TrickBot y esta nueva puerta trasera, BazarBackdoor, ha permitido a los investigadores atribuirla al mismo grupo de atacantes. El vector de entrada son campañas de phishing de distintas temáticas, enviadas a través de la plataforma de marketing online Sendgrid, y que contienen enlaces a documentos alojados en Google Docs. Cuando se hace clic en el enlace para descargar los documentos, se descarga realmente un ejecutable con el mismo nombre e icono que el supuesto documento, que conecta con los servidores Command & Control para descargar la puerta trasera, que finalmente se instala en el equipo sin el conocimiento del usuario. BazarBackdoor descarga y ejecuta herramientas como Cobalt Strike, de forma que se evidencia la intención de los atacantes de ganar acceso a redes corporativas que se puedan infectar con ransomware, donde se pueda obtener información sensible o cuyo acceso puedan posteriormente vender a otros actores amenaza. Más información: https://www.bleepingcomputer.com/news/security/bazarbackdoor-trickbot-gang-s-new-stealthy-network-hacking-malware/ Malware Asnarök responsable de explotación de vulnerabilidad en Firewall Sophos Investigadores de seguridad de Sophos han publicado los detalles de un ataque contra los propios firewall de la firma con un malware denominado Asnarök, que tuvo lugar el pasado 22 de abril y cuyo objetivo principal era el robo de información de los cortafuegos de la empresa: número de serie del cortafuegos comprometido, listado de direcciones de correo almacenadas en el dispositivo, usuarios y contraseñas (cifradas) almacenadas en el cortafuegos, incluyendo la contraseña de administrador y listado de usuarios habilitados para SSL VPN. El vector de entrada del malware era la explotación de la vulnerabilidad 0-Day CVE-2020-12271 de inyección SQL reportada el día antes. Desde Sophos bloquearon los dominios empleados por Asnarök los días 22 y 23 de abril, mitigaron la afectación sobre los dispositivos afectados los días 23 y 24 de abril tras identificar el vector inicial de ataque y, finalmente, el día 25 de abril hacían pública la actualización de seguridad para la vulnerabilidad así como desplegaban el parche para todas las unidades que cuentan con las actualizaciones automáticas. Todos aquellos que no tengan las actualizaciones automáticas, deben seguir las instrucciones para instalar el hotfix de forma manual. Todos los detalles: https://news.sophos.com/en-us/2020/04/26/asnarok/ Campaña de suplantación de Microsoft Teams Abnormal Security ha informado de una reciente campaña de suplantación por correo electrónico contra Microsoft Teams. Según informan, los atacantes estarían buscando obtener las credenciales de acceso de empleados de esta herramienta, al haberse incrementado su uso debido al aumento del teletrabajo. Los correos electrónicos enviados se hacen pasar por notificaciones automáticas del equipo de Microsoft, e incitan a las víctimas a acceder al enlace de acceso de inicio de sesión. De acuerdo con los investigadores, este ataque estaría siendo efectivo debido a que tanto el correo electrónico como la página de destino son convincentes, además de ser frecuentes las notificaciones recibidas por los usuarios de este software. Cabe destacar que una intrusión en la cuenta de Microsoft Teams atañe un mayor peligro al estar vinculada a Microsoft Office 365, por lo que un atacante podría tener acceso a una mayor información disponible. Toda la info: https://abnormalsecurity.com/blog/abnormal-attack-stories-microsoft-teams-impersonation/ Vulnerabilidades críticas en Citrix ShareFile storage zones controller Citrix ha corregido tres vulnerabilidades de severidad crítica (CVE-2020-7473, CVE-2020-8982 y CVE-2020-8983) en ShareFile storage zones controller. Estas vulnerabilidades, si son explotadas con éxito, podrían permitir a un ataque no autenticado vulnerar los controladores de zonas de almacenamiento, pudiendo así acceder a los documentos y carpetas del usuario víctima en ShareFile. Según ha comunicado Citrix, las zonas de almacenamiento creadas de forma previa con una versión vulnerable del controlador podrían ser explotadas aunque este se haya actualizado posteriormente. Información completa: https://support.citrix.com/article/CTX269106 Campaña de difusión del ransomware Snake Ha sido detectada una campaña de distribución del ransomware Snake (también conocido como Ekans) que habría dado comienzo esta misma semana y cuyo objetivo sería la infección de entornos corporativos en sectores y territorios diversos. Desde el lunes día 4 han sido reportadas más de 25 infecciones a través de la plataforma ID Ransomware que permite a los equipos IT identificar la familia de ransomware responsable de un ataque exitoso. Entre los afectados se encontraría la empresa alemana Fresenius, una de las entidades de asistencia sanitaria más grandes de Europa, junto a otras empresas no identificadas como una firma de arquitectura francesa o una compañía financiera de tarjetas prepago. Snake es una familia de ransomware relativamente nueva, identificada en enero de 2020, de la cual se habían visto hasta el momento muy pocas muestras e infecciones. Entre sus características más reseñables se encuentra la capacidad para deshabilitar determinados procesos asociados a sistemas SCADA e ICS, lo que permite situar el foco de las infecciones de Snake en el sector industrial. En esta nueva campaña, la nota de rescate incluye una línea adicional de texto donde se amenaza al usuario con la filtración de los datos robados si no se produce el pago del rescate en el tiempo estipulado, estrategia que ya es común en múltiples familias de ransomware desde finales de 2019. Esta entidad ha reconocido el ataque y ha informado de que sus actividades hospitalarias continúan aunque con limitaciones. Más información: https://www.bleepingcomputer.com/news/security/large-scale-snake-ransomware-campaign-targets-healthcare-more/ Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita el canal de Telegram CyberSecurity Pulse aquí. Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com. TypoSquatting: usando tu cerebro para engañarteElevenPaths Radio #5 – Seguridad LowCost
Aarón Jornet Cómo funciona Lokibot, el malware que utiliza Machete para robar información y credenciales de acceso Machete es un grupo dedicado al robo de información y el espionaje. Utiliza distintas herramientas, entre las que se encuentra LokiBot.
Nacho Palou Lucía y Marina: #MujeresHacker que se lanzan a la piscina del campus 42 Lucía, experta tech, y Marina, estudiante de 42, comparten su experiencia e intercambian opiniones tras pasar por las Piscina del campus 42 de Telefónica
Telefónica Tech Boletín semanal de ciberseguridad, 18 — 24 de junio Caída de los servicios de Microsoft Office 365 y Cloudflare a nivel mundial A lo largo del pasado martes se vieron interrumpidos múltiples servicios web a nivel mundial. El origen...
Cristina del Carmen Arroyo Siruela Día de la mujer ingeniera: construyendo nuevos caminos El término “ingeniero” proviene del latín, ingenium, en castellano ingenio. Desde hace mucho tiempo, se ha asociado el mundo de la ingeniería con el sexo masculino. Pero ¿es el...
Cristina del Carmen Arroyo Siruela Los ataques más comunes contra las contraseñas y cómo protegerte Una credencial de acceso es básicamente un nombre de usuario y una contraseña asociada a esa persona y a los permisos de accesos que tiene otorgados para una aplicación,...
Nacho Palou Webinar: Sports Tech, la revolución digital del fútbol El pasado 15 de junio desde Telefónica Tech organizamos un webinar dedicado a la tecnología en el deporte: “Sports Tech, la revolución digital del fútbol”, disponible ya en nuestro...