Categoría: Boletines

Hoy despedimos este año y damos la bienvenida al 2022 con un resumen de las noticias más importantes relacionadas con el mundo de la ciberseguridad. El 2021 ha sido un año marcado por la introducción de malware en todo tipo de plataformas, la popularidad del ransomware, las violaciones y fugas de información, y el aprovechamiento de la pandemia como medio para lanzar campañas de falsedad y desinformación. Un breve resumen de las noticias más destacadas sería:

• • El ataque a SolarWinds, que se confirmó como uno de los más graves de la historia de la computación. Este ataque derivó en el acceso a un código fuente de software de Microsoft que afectó a información de unas 18.000 empresas de todo el mundo, incluida España.

• • Los ataques a Microsoft Exchange Server, producto de las múltiples vulnerabilidades Zeroday reveladas por Microsoft, y que daban a los atacantes acceso completo a los correos electrónicos y contraseñas de los usuarios afectados, privilegios de administrador en el servidor, así como acceso a los dispositivos conectados en la misma red. Afectó a más de 30.000 organizaciones públicas y privadas de todo el mundo.

• • El ataque a Colonial Pipeline, que se originó con el robo de una contraseña. El ciberataque interrumpió las operaciones de Colonial Pipeline, el oleoducto más grande de EE.UU, y provocó la escasez de suministro durante varios días. Los ciberdelincuentes lograron acceder a la red a través de una cuenta de VPN. La compañía pagó casi USD 5 millones para deshacerse del ransomware.

• • El ciberataque de REvil a Kaseya, empresa que ofrece software de servicios IT en remoto. En este sentido, su plataforma en la nube “VSA”, que permite a sus clientes actualizar y mantener soluciones en remoto, fue golpeada por el ransomware Revil aprovechando la vulnerabilidad CVE-2021-30116. El ransomware llegó a alrededor de un millón de sistemas informáticos a través de una actualización falsa de su software.

• • La fuga de datos sufrida por Twitch, en la que se filtran 125 GB de datos de pagos a streamers, datos de clientes y el código fuente de la plataforma propiedad de Amazon.

• • La vulnerabilidad Log4Shell que afectó a la biblioteca Java Apache Log4j en las versiones 2.0-beta9 hasta la 2.14.1. Esta vulnerabilidad permite a los atacantes acceder a la red interna de una organización ejecutando cualquier código en un dispositivo de forma remota.

 

Por otro lado, España también ha sido objeto de múltiples ataques de ciberseguridad, algunos de reconocida entidad, como:

• • El ciberataque al SEPE. El ataque fue producido por un ransomware que afectó tanto a la web como a la sede electrónica, provocando que las oficinas de empleo no pudieran trabajar, lo que llevó a suspender la actividad y a aplazar gestiones como las prestaciones sociales.

• • El ciberataque sincronizado contra el INE y los ministerios de Justicia, Economía o Educación. Se trató de una serie de ataques sincronizados contra distintas administraciones públicas que provocaron afectaciones en sus páginas webs. Los ataques conllevaron la suspensión de servicios como el portafirmas, Cl@ve, Geiser o la plataforma de intermediación. Los ciberatacantes intentaron afectar la red SARA.

 

En cuanto a este último mes de diciembre, es de destacar:

• • El hackeo a Vulcan Forged, plataforma crypto-gaming. Los cibercriminales accedieron a 96 carteras electrónicas provocando más de USD 140 millones de pérdidas en activos virtuales.

• • Varios ciberataques a manos de ransomware como en el caso de la empresa Kronos que podría afectar a servicios Cloud, la farmacéutica Uriach que ha supuesto el secuestro de gran cantidad de información almacenada en los servidores de su laboratorio, MRW cuyo ataque está afectando al sistema de envíos de SMS maliciosos a los clientes, o la plataforma de fotografía Shutterfly que ha supuesto el cifrado de miles de dispositivos y expuesto información confidencial.

• • BotenaGo el malware que ataca routers y dispositivos IoT, y que afecta principalmente a routers con Linux mediante botnets. Ejecuta comandos shell remotos, u otras instrucciones, en aquellos dispositivos con vulnerabilidades explotadas.

• • El malware desplegado a raíz de la película de Spider-Man, titulada «No Way Home», y que supone un reclamo para difundir amenazas y páginas phishing con el objetivo de robar datos bancarios. Para ver la película antes del estreno, se pedía a los usuarios que se registraran e introdujeran los datos de su tarjeta de crédito.

• • Múltiples aplicaciones infectadas con malware en Samsung Galaxy Store. Se recomienda a los usuarios de Samsung desinstalar estas aplicaciones de inmediato.

 

Finalmente, y como en años anteriores, CSIRT-CV sigue trabajando y aunando esfuerzos en el mantenimiento de un espacio ciberseguro, promoviendo campañas de concienciación (siendo la última campaña de este año la titulada «Diez Recomendaciones de Ciberseguridad para Equipos Domésticos«), impulsando Planes de Ciberseguridad (Plan de choque de ciberseguridad de las Entidades Locales), participando en foros de prestigio (XV Jornadas STIC CCN-CERT bajo el lema Ciberseguridad 360º. Identidad y control del dato), o llevando a cabo la ejecución de las Jornadas de Ciberseguridad en los centros de secundaria, incluidas dentro del Plan Valenciano de Capacitación.

Despedimos el año 2021 con nuestros mejores deseos de prosperidad y ciberseguridad para todos vosotros y os deseamos un Feliz Año 2022.

Como cada quincena, ponemos a vuestra disposición un nuevo boletín sobre las principales noticias relacionadas con el mundo de la ciberseguridad.

Iniciamos hablando del mundo de las aplicaciones para dispositivos Android. Se ha detectado un troyano, Joker, que ha conseguido colarse en descargas desde Google Play. El malware ha sido encontrado en 15 aplicaciones, algunas de ellas con más de 100.000 descargas. Este troyano realiza fraudes SMS a través del envío de mensajes a números no gratuitos. Además, puede suscribir a los usuarios a sitios webs que ofrecen servicios de pago, realizando así también el fraude mediante suscripciones premium.

Con el objetivo de fortalecer la experiencia de privacidad, se ha incluido una nueva función de protección de contenido en Telegram, con la que los usuarios podrán evitar que otras personas puedan guardar o reenviar el material compartido en grupos o canales de la aplicación. De esta manera, la plataforma garantizará que el contenido compartido en estos grupos permanezca disponible solamente para las personas con las que fue compartido inicialmente.

También el sector automovilístico ha sido noticia por un ciberataque a Volvo Cars con robo de datos de diseño e información confidencial. El actor de amenazas, no identificado, logró acceder a sus sistemas de investigación y desarrollo después de atacar un conjunto de servidores. Por el momento, no hay indicio de que este incidente pueda tener impacto en la integridad de los automóviles y la información personal de sus clientes.

Por otro lado, queremos hacer hincapié en que nunca debemos recurrir a activaciones de licencias no oficiales, ya que en este caso, los usuarios que intentan activar Windows de manera pirata, se están encontrando con el malware CryptBot que trata de robar las credenciales de navegadores, carteras de criptomonedas, cookies, tarjetas de crédito y capturas de pantalla del sistema infectado. Para la infección, el usuario solo tiene que hacer un clic en unos de los enlaces maliciosos, descargar KMSPico y pinchar en el ejecutable. La instalación del KMS es solo una distracción mientras se instala el malware, alargando la espera de la activación para dar tiempo al malware a infectar el sistema.

En el entorno de las criptomonedas, la plataforma de trading AscendEX ha sufrido un ciberataque millonario. Los ciberdelincuentes se han podido hacer con wallets con un valor de 77 millones de dólares, repartidos de la siguiente manera:

• • • Ethereum ($60 millones).
    • BinanceSmartChain ($9.2 millones).
    • Polygon ($8.5 millones).

Los usuarios que se hayan visto afectados por el ataque serán recompensados con la devolución de la criptomoneda sustraída. Además, se realizará una investigación con el resto de compañías y con las fuerzas de la ley.

Como podéis comprobar, los ciberataques siguen formando parte de nuestro día a día, por eso desde CSIRT-CV seguimos concienciando a nuestros adolescentes de la Comunidad Valenciana en cuanto a los riesgos que conlleva el uso de Internet. Las Jornadas de Concienciación en los centros de secundaria forman parte del Plan Valenciano de Capacitación, que estamos llevando a cabo con la intención de mejorar la concienciación en el uso de Internet tanto de los alumnos, como de las familias y docentes del centro. Estas jornadas son gratuitas y puedes ver más información desde nuestra web.

Destacamos las siguientes alertas y actualizaciones más relevantes de la quincena:

• • • Actualizaciones de seguridad de Microsoft de diciembre de 2021: 67 fallos de seguridad, de los cuales 7 son críticos y el resto están catalogados como gravedad alta. Uno de los más críticos es una vulnerabilidad que suplanta la identidad del instalador de AppX afectando a Microsoft Windows. Los atacantes han estado aprovechando esta vulnerabilidad para instalar paquetes que incluyen algunas familias de malware como son Emotet, TrickBot o Bazaloader.

• • • Actualizaciones de seguridad de SAP de diciembre de 2021, algunas de ellas críticas. Son varios los recursos que se han visto afectados y requieren de una actualización para corregir las vulnerabilidades.

• • • El día 9 de Diciembre, un exploit 0-day fue encontrado en la librería de Java «log4j» que permite a un atacante la ejecución de código remoto registrando una determinada cadena en los sistemas vulnerables.

• • • Vulnerabilidad crítica en Desktop Central de ManageEngine, que permite la ejecución de código de manera remota en el servidor. Se requiere actualizar cuanto antes los recursos afectados.

Volvemos una quincena más con un nuevo boletín sobre las principales noticias relacionadas con el mundo de la ciberseguridad.

Comenzamos con la noticia del timo de suplantar la identidad en Facebook para pedir dinero. El modus operandi es el mismo: cuando los ciberdelincuentes han tomado el control de la cuenta robada, se ponen en contacto con los conocidos del usuario afectado para solicitarles dinero.

Al mismo tiempo, GoDaddy informó de que un atacante accedió a sus sistemas a través de una contraseña comprometida del servicio WordPress, exponiendo información de 1,2 Millones de usuarios (direcciones de correo electrónico, contraseñas de usuarios activos, acceso a la base de datos y sFTP, números de identificación de clientes, e incluso, claves privadas SSL).

Por otro lado, Pfizer denuncia un robo de datos interno que ha supuesto una filtración de información muy sensible por parte de uno de sus empleados, antes de que éste abandonase la compañía para trabajar en una empresa rival. La filtración fue detectada gracias a las medidas de monitorización establecidas por la empresa en relación a las acciones de los usuarios, la difusión de ficheros y la subida de ficheros a la nube.

También se ha descubierto un nuevo malware para el robo de NFT y cripto. Esta campaña tiene como objetivo distribuir el malware “Babadeba”. Este malware permite robar información e instalar troyanos de acceso remoto, así como el ransomware LockBit. La forma de actuar de los ciberdelincuentes es la siguiente: suplantar a los usuarios interesados en cripto y NFT’s a través de mensajes privados en los cuales se les solicita descargar una app para acceder a funciones y beneficios extras. Adoptan medidas adicionales como la ciberocupación de URL de los sitios web señuelo para que se asimilen a las de otras webs legítimas.

Asimismo, se ha descubierto otra campaña de malware en la que se intenta suplantar a la Agencia Tributaria española. La Agencia Tributaria no te envía una factura, sino que son los ciberdelincuentes los encargados de enviar correos electrónicos fraudulentos con el asunto “Notificación Urgente”. El correo contiene un .zip con un archivo .vbs el cual descarga un troyano que permite robar información y realizar acciones maliciosas en los equipos.

Por su parte, un nuevo ransomware cifra ficheros con WinRAR para saltarse protecciones. Cifra los ficheros del equipo con contraseña y elimina los ficheros originales. Para el cifrado los ciberdelincuentes utilizan la versión freeware de WinRAR. La amenaza se dirige a equipos Windows, y gracias a Nmap, Npcap o MimiKatz, los atacantes consiguen moverse lateralmente en la red para continuar infectando máquinas.

Otras noticias destacables son:

• • • Microsoft Defender utilizará IA para prevenir ransomware. Microsoft Defender para Endpoint ha añadido una capa basada en IA para proteger y prevenir a usuarios del ransomware. Se basa en el modelo actual de protección en la nube. Si existe riesgo en un dispositivo por encima de cierto umbral, la protección en la nube cambia a “bloqueo agresivo”, lo que podría llevar a bloquear por precaución ficheros o procesos que podrían ser maliciosos.

• • • CSIRT-CV promueve la concienciación a través de sus publicaciones en el portal concienciaT. Te animamos a leer nuestro post ¡STOP Fake News! Tú puedes parar las noticias falsas, con consejos para identificar y frenar las campañas de desinformación y noticias falsas.

• • • Las Jornadas de Ciberseguridad en centros de secundaria promovidas desde el Centro de Seguridad TIC de la Comunidad Valenciana, dentro del Plan Valenciano de Capacitación, y que son ejecutadas por el CSIRT-CV con el objetivo de mejorar los conocimientos en ciberseguridad de los ciudadanos de la Comunidad Valenciana en Alicante, Valencia o Castellón. Las jornadas, de dos días de duración, se enfocan principalmente en los alumnos de 2º de la ESO, los familiares y docentes del centro educativo.

• • • La celebración de las XV Jornadas STIC CCN-CERT bajo el lema “Ciberseguridad 360º. Identidad y control del dato”, en las que grandes profesionales de la ciberseguridad, Administraciones públicas, empresas, Universidades y otras instituciones del Estado se reúnen para poner en común y compartir información. Es de reseñar la ponencia realizada por nuestros compañeros del CSIRT-CV, Lourdes Herrero y José Vila, sobre la puesta en marcha del Plan de Choque de Ciberseguridad para las Entidades Locales, así como la realizada por Amparo Marco (alcaldesa de Castellón) y Carmen Serrano (CSIRT-CV), “Gestión de crisis: ransomware en el Ayuntamiento de Castellón”.

 

Respecto a las alertas y actualizaciones más relevantes de la quincena:

• • • Múltiples vulnerabilidades en Avalanche de Ivanti. Avalanche en versiones anteriores a la 6.3.3. es objeto de cinco vulnerabilidades, cuatro de severidad crítica y una alta. Las vulnerabilidades son las siguientes: CVE-2021-42127, CVE-2021-42132, CVE-2021-42129, CVE-2021-42130, CVE-2021-42128.

• • • Vulnerabilidad crítica de ejecución remota de código en QNAP QTS y QuTS hero. Se detecta una vulnerabilidad crítica que afecta a las dos versiones del sistema operativo para equipos de almacenamiento conectado en red (NAS) desarrollado por QNAP (CVE-2021-28816).

• • • Cuatro vulnerabilidades críticas en soluciones VPN industriales de proveedores como HMS Industrial Networks, Siemens, PerFact y MB connect line. Estas vulnerabilidades permiten ejecutar código a través de un sitio web especialmente diseñado.

• • • Un exploit ZERO DAY permite adquirir privilegios de administrador en Windows, afectando a los S.O. Windows 10, Windows 11 y Windows Server. Esta brecha de seguridad puede permitir la obtención de privilegios de administrador, haciendo y deshaciendo a placer. La particularidad de este nuevo exploit es que burla el parche número CVE-2021-41379, lanzado por Microsoft en el Patch Tuesday de noviembre.

• • • Fallo de seguridad en procesadores MediaTek que podría afectar a millones de usuarios. Esta falla podría haber sido utilizada para escuchar conversaciones privadas. Las vulnerabilidades descubiertas en el “firmware” DSP (CVE-2021-0661, CVE-2021-0662, CVE-2021-0663) ya han sido corregidas y serán publicadas en el boletín de MediaTek en diciembre.

• • • Paquetes maliciosos en el repositorio PyPI. PyPI (Python Package Index) es el repositorio de software oficial para aplicaciones de terceros en lenguaje Python en el que miles de programadores publican sus desarrollos. Se descubrieron 11 paquetes maliciosos alojados, con más de 40.000 descargas en total, que han sido eliminados.

Nuevo boletín quincenal donde os comentamos las principales noticias relacionadas con el mundo de la ciberseguridad.

Comenzamos con la noticia de que Movistar se ha visto afectada por un ciberataque. La compañía detectó actividad inusual en los sistemas a través de un acceso irregular desde direcciones IP sospechosas , por lo que procedió a bloquear el acceso a dichas IP. No se hallaron indicios de sustracción de datos sensibles.

Por otro lado, el gobierno nicaragüense es acusado por Facebook de usar cuentas falsas. Facebook ha informado de la eliminación de casi 1000 cuentas, 140 páginas, 24 grupos y 363 cuentas de Instagram por ser utilizadas por el gobierno nicaragüense para realizar prácticas de desacreditación contra partidos de la oposición. No es la primera vez que las redes sociales son utilizadas como herramientas políticas.

Asimismo, surgen varios ransomware que afectan tanto al mundo Minecraft como a los casinos en reservas de nativos americanos. Respecto a Minecraft, el ransomware robó cuentas de jugadores japoneses cifrando sus dispositivos Windows a través de listas falsas. Para descifrar los dispositivos, los ciberdelincuentes exigían un rescate de 2.000 yenes (unos 15 euros) en tarjetas prepago. En cuanto a los casinos en reservas de nativos americanos, el Buró Federal de Investigaciones (FBI) alertó de la existencia de una agresiva campaña de ransomware que ha provocado la paralización de operaciones y el cierre de salas de juegos, restaurantes y otras áreas comunes.

Otro caso es el de cibercriminales que instalan software de secuestro falso en sitios web de WordPress. Al ingresar en las plataformas comprometidas, los administradores del sitio web encontraban una breve nota de rescate mencionando que el sitio web había sido cifrado y que las víctimas tenían que enviar 0.1 bitcoin a una dirección mencionada en la nota de rescate. Sin embargo, los especialistas de seguridad reportaron que los sitios web no estaban cifrados, y que los criminales únicamente querían engañar las víctimas para obtener ganancias rápidas.

La F1 tampoco se libra de ciberataques. Durante sus eventos, los cibercriminales ponen el foco en la información que los equipos intercambian (telemetría de los coches, archivos de vídeo y audio, cronometraje, puntuación…). En palabras de “DarkTrace”, plataforma de ciberdefensa del equipo McLaren Racing, gracias al uso de la Inteligencia Artificial (IA) los ataques pueden detectarse y frenarse a tiempo independientemente del país en el que estén las escuderías.

También es de destacar la presentación, por parte de Lourdes Herrero, Jefa del Servicio de Confianza Digital, de la Conselleria de Hacienda y Modelo Económico, del “Plan de choque de Ciberseguridad de las Entidades Locales” en Infocaldero.

 

En lo que respecta a las alertas y actualizaciones más relevantes de la quincena, han sido:

• • • Vulnerabilidades 0-day en los cortafuegos GlobalProtect Portal VPN de Palo Alto. “Palo Alto Networks” (PAN) proporcionó una actualización que corrige la vulnerabilidad CVE-2021-3064. Esta vulnerabilidad afecta a los cortafuegos de PAN que utilizan GlobalProtect Portal VPN y permite la ejecución remota de código sin autenticación en instalaciones vulnerables del producto.

• • • Google advierte de ataques tipo 0-day en dispositivos Apple. Google identifica vulnerabilidades a través de las cuales los delincuentes utilizaban un conocido «exploit» que permitía realizar una ejecución remota de código (CVE-2021-1789) para después realizar un segundo Zero-day no público con la finalidad de escalar privilegios en el equipo de la víctima (CVE-2021-30869).

• • • Múltiples fallos de seguridad de BusyBox amenazan a los dispositivos IoT. Se identificaron varias vulnerabilidades críticas en la utilidad BusyBox de Linux que podrían ser explotadas para provocar una condición de denegación de servicio (DoS) y, en algunos casos, incluso conducir a fugas de información y ejecución remota de código (CVE-2021-42373, CVE-2021-42374, CVE-2021-42375, entre otras).

• • • Múltiples vulnerabilidades en TIBCO PartnerExpress. Se identificaron varias vulnerabilidades que permiten ataques de clickjacking (CVE-2021-43048), Cross-Site Scripting (CVE-2021-43047) y tokens de sesión (CVE-2021-43046).

• • • Múltiples vulnerabilidades en Moodle. Las vulnerabilidades encontradas afectan a la restauración de archivos de backup (CVE-2021-3943), a un parámetro URL de la herramienta de administrador “filetype” (CVE-2021-43558 ), y al token de comprobación de la función “delete related badge” (CVE-2021-43559).

• • • Vulnerabilidad crítica en el kernel de Linux, la cual podría llevar a la ejecución remota de código y a un compromiso total del sistema. La vulnerabilidad (CVE-2021-43267) se encuentra en el módulo de comunicación transparente entre procesos (TIPC) del «kernel» de Linux, concretamente en el fichero “net/tipc/crypto.c”.

• • • Varias vulnerabilidades de riesgo alto corregidas en Mozilla Firefox 94. Dichas vulnerabilidades son de riesgo alto, y han sido clasificadas con los códigos CVE-2021-38503, CVE-2021-38504, CVE-2021-38505, CVE-2021-38506, CVE-2021-38507, MOZ-2021-0003 y MOZ-2021-0007.

• • • Vulnerabilidades XSS en el core de Drupal. Se han reportado dos vulnerabilidades (CVE-2021-41165 y CVE-2021-41164).

• • • Actualizaciones de seguridad de Microsoft de noviembre de 2021, que constan de 7 vulnerabilidades clasificadas 6 como críticas, 50 importantes y 23 sin severidad asignada. Las vulnerabilidades publicadas se corresponden con DoS, escalada de privilegios, divulgación de información y otras vulnerabilidades Zeroday (CVE-2021-38631, CVE-2021-41371, CVE-2021-43208, CVE-2021-43209, CVE-2021-42292, CVE-2021-42321…).