#NoticiasCiberseguridad: Boletín de ciberseguridad semanal 23-27 de marzoElevenPaths 27 marzo, 2020 COVID-19 – Nueva campaña del malware Ginp en España El equipo de investigadores ha detectado una nueva campaña del troyano bancario Ginp, utilizado para robar credenciales bancarias de la víctima aprovechándose de la temática del COVID-19. El fraude consiste en que, mediante una notificación push, se intenta que la víctima acceda a una página web denominada Coronavirus Finder. Una vez que el usuario accede a esta, se le informa que 12 personas a su alrededor están infectadas por el virus, y se solicita un micropago para conocer su localización exacta. Si el usuario decide realizar el pago, la información es transmitida a actores maliciosos obteniendo las credenciales bancarias. El equipo indica que la mayoría de los usuarios afectados por el malware Ginp se encuentran en España, aunque señalan que la etiqueta utilizada en esta campaña «flash-2» difiere de versiones anteriores «flash-es12», lo que podría significar que, al eliminar “es”, podrían planear expandir esta campaña a otros países. COVID-19 – Campaña con ransomware NetWalker y Ryuk contra el sector sanitario José Ángel González, Director Adjunto Operativo de la Policía Nacional, alertaba el pasado lunes sobre una campaña de ransomware que estaría difundiéndose mediante correos electrónicos al personal sanitario con el objetivo de afectar a los sistemas de centros hospitalarios. Bernardo Quintero, creador del motor VirusTotal, señalaba horas más tarde acerca de las declaraciones, que no se trataba de una campaña contra hospitales en nuestro país, sino que los correos recibidos se engloban dentro de una campaña a nivel internacional de distribución del ransomware NetWalker, el cual se propaga mediante un mail con un archivo adjunto nombrado “CORONAVIRUS_COVID-19.vbs”. Los indicadores de compromiso detectados en esta campaña, coincidían además con los reportados el pasado día 21 de marzo desde el equipo de seguridad de MalwareHunterTeam, quienes ya habían detectado la distribución de NetWalker en correos sobre la temática del COVID-19. Unos días más tarde, investigadores de seguridad alertaban también de la actividad de los gestores del ransomware Ryuk contra hospitales. Al contrario que otros operadores de ransomware como Maze o DoppelPaymer, que afirmaron paralizar sus ataques contra centros hospitalarios durante la pandemia, los operadores de Ryuk han continuado teniendo a este tipo organismos en su centro de mira. A lo largo de marzo, Ryuk ha dirigido sus ataques contra al menos 10 entidades dedicadas al sector salud en Estados Unidos; habiendo podido también localizarse varias muestras del ransomware inspiradas en la temática COVID-19, con nombres de archivo como «Protection of Department of Health». Campaña internacional de APT41 Investigadores de FireEye han descrito lo que podría ser una de las campañas de ciberespionaje más extensas de los últimos años llevada a cabo por el actor chino APT41. Desde finales de enero hasta mediados de marzo, los investigadores identificaron ataques a 75 compañías mediante el aprovechamiento de vulnerabilidades recientes en routers Cisco (RV320), Citrix NetScanler/ADC (CVE-2019-19781) y Zoho ManageEngine (CVE-2020-10189). El sector y localización territorial de las entidades afectadas es muy amplio, sin haberse llegado a determinar si la campaña pretende una explotación masiva o responde a objetivos dirigidos. Un compromiso exitoso continúa con la descarga de malware libre como Cobalt Strike o Meterpreter, en espera de realizar tareas de reconocimiento interno antes de desplegar malware más sofisticado. Cabe señalar que, en anteriores campañas más limitadas, APT41 también ha aprovechado la vulnerabilidad CVE-2019-3396 en Atlassian Confluence. Información completa aquí: https://www.fireeye.com/blog/threat-research/2020/03/apt41-initiates-global-intrusion-campaign-using-multiple-exploits.html Explotación de vulnerabilidades 0-Day de Microsoft Microsoft emitió un aviso de seguridad para dos vulnerabilidades 0-Day críticas de Windows sin parchear que actualmente están siendo explotadas mediante la ejecución de código arbitrario de forma remota. En concreto, se ha detectado que existen dos fallos RCE en la librería de parseo de fuentes Adobe Type Manager, encargada de renderizar las tipografías PostScript en los sistemas Windows. Para explotar esta vulnerabilidad, un atacante podría construir una fuente en formato PostScript Adobe Type 1 que, al abrirse o previsualizarse el documento que la contiene, desencadenaría la ejecución de código. Microsoft ha publicado una serie de mitigaciones para estas vulnerabilidades, que afectan a todas las versiones de Windows. Toda la info: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200006 Vulnerabilidad en iOS impide el cifrado de tráfico VPN Se ha encontrado una vulnerabilidad en la versión 13.3.1 de iOS que impide que las VPNs cifren todo el tráfico. En la versión actual de iOS, el sistema operativo no cierra las conexiones existentes, lo que podría dar lugar a que los datos de los usuarios quedasen expuestos si las conexiones afectadas no estuvieran cifradas por sí mismas. Un atacante podría ver tanto la dirección IP de los usuarios como la de los servidores a los que se están conectando. Además, el servidor al que se conecta podría ver la verdadera dirección IP en lugar de la del servidor VPN. Apple todavía no ha publicado una solución para este fallo. Más aquí: https://protonvpn.com/blog/apple-ios-vulnerability-disclosure/ Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita el canal de Telegram CyberSecurity Pulse aquí. Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com. ElevenPaths Radio #4 – Teletrabajo seguroCARMA, nuestro conjunto gratuito de muestras de malware de Android para investigación
Telefónica Tech Boletín semanal de ciberseguridad, 18 — 24 de junio Caída de los servicios de Microsoft Office 365 y Cloudflare a nivel mundial A lo largo del pasado martes se vieron interrumpidos múltiples servicios web a nivel mundial. El origen...
Cristina del Carmen Arroyo Siruela Día de la mujer ingeniera: construyendo nuevos caminos El término “ingeniero” proviene del latín, ingenium, en castellano ingenio. Desde hace mucho tiempo, se ha asociado el mundo de la ingeniería con el sexo masculino. Pero ¿es el...
Cristina del Carmen Arroyo Siruela Los ataques más comunes contra las contraseñas y cómo protegerte Una credencial de acceso es básicamente un nombre de usuario y una contraseña asociada a esa persona y a los permisos de accesos que tiene otorgados para una aplicación,...
Telefónica Tech Webinar: Sports Tech, la revolución digital del fútbol El pasado 15 de junio desde Telefónica Tech organizamos un webinar dedicado a la tecnología en el deporte: “Sports Tech, la revolución digital del fútbol”, disponible ya en nuestro...
Telefónica Tech Boletín semanal de ciberseguridad, 13 — 17 de junio Hertzbleed. Nuevo ataque de canal lateral contra procesadores AMD e Intel Investigadores de seguridad de varias universidades de Estados Unidos han descubierto un nuevo ataque de canal lateral que afecta...
Telefónica Tech ¡Estamos de estreno! Conoce la nueva web de Telefónica Tech Cyber Security & Cloud En Telefónica Tech no dejamos de crecer y de trabajar para ser el partner tecnológico de las empresas en su proceso de transformación digital. Como parte de este propósito Telefónica Tech...