Category: Butlletins

Nou butlletí quinzenal on us comentem les principals notícies relacionades amb el món de la ciberseguretat.

Iniciem amb una notícia en què un grup de ciberdelinqüents ha aconseguit comprometre la xarxa informàtica de les Nacions Unides, amb la finalitat de robar una gran quantitat d’informació que els permetria atacar altres agències internacionals. Per a això, van utilitzar un mètode poc sofisticat, que incloïa usar noms d’usuari i contrasenyes disponibles a la venda en la “dark web“. Pel que sembla, aquestes credencials d’accés compromeses pertanyien a comptes d’Umoja, un software de gestió de projectes patentat per l’ONU. Aquest compte d’Umoja utilitzat pels ciberdelinqüents no estava protegit amb autenticació multifactor, per la qual cosa els va ser fàcil passar desapercebuts.

També el ransomware continua sent notícia. En aquesta ocasió, Olympus ha sigut víctima del ransomware Blackmatter” que ha afectat les seues operacions a Europa i Orient Mitjà. El grup de ciberdelinqüents opera com una plataforma de ransomware com a servei (RaaS). Aquesta classe d’operacions es divideix en desenvolupadors de ransomware i afiliats, que col·laboren amb la finalitat d’arribar a més víctimes i dividir enormes guanys. En resposta a l’incident, Olympus va mobilitzar un equip de seguretat per a interrompre la infecció i començar a identificar els responsables. Fins al moment, no s’han revelat detalls addicionals sobre l’atac.

Amb motiu del Dia Internacional del Teletreball, celebrat el dia 16 de setembre, des de CSIRT-CV et facilitem uns consells perquè pugues realitzar les teues funcions d’una manera més cibersegura, ja que aquesta modalitat laboral segueix implantada en moltes empreses. Et convidem a llegir la nostra guia de seguretat en el teletreball.

Com és habitual en els nostres butlletins, el phishing segueix present en les seues diferents modalitats. En aquesta ocasió, s’ha publicat una nova ciberestafa en la qual un grup de cibercriminals està fent-se passar per una agència de serveis de TI per a enviar milers de correus electrònics de phishing que contenen un enllaç per a sol·licitar un suposat “Passaport Digital de Coronavirus”. Aquest enllaç redirigia els usuaris a una plataforma falsa del Servei Nacional de Salut (NHS) i tenia per objectiu recopilar informació confidencial. L’increment de les estafes en línia és només una més de les indesitjables conseqüències que ha portat la pandèmia.

Volem alertar els usuaris de dispositius amb el sistema Android, ja que s’ha identificat un nou troià bancari per a Android amb altes prestacions que pot robar informació personal i credencials bancàries. El seu objectiu són aplicacions bancàries, carteres de criptomonedes i aplicacions de compres. Els usuaris als quals va dirigit originalment són usuaris d’entitats dels Estats Units i Espanya. Abans que el malware SOVA siga oficialment una amenaça per a les empreses financeres, els equips de seguretat han d’actuar ara i considerar la implementació d’una estratègia de seguretat mòbil basada en el risc.

I per acabar amb les notícies d’aquesta quinzena, sabem que estem davant un nou curs escolar, ple d’il·lusions i expectatives per a anar reprenent la normalitat en el funcionament de les classes. Des de CSIRT-CV hem iniciat aquesta setmana una nova campanya de conscienciació dirigida als docents, en la qual, durant dues setmanes, publiquem un consell diari sobre un tema a treballar amb els alumnes, oferint recursos que permeten assimilar millor els continguts de ciberseguretat que s’exposen. Pots seguir aquesta nova campanya des de les nostres xarxes socials Facebook i Twitter a través del hashtag #EnseñaCiberseguridad.

A més, en aquest curs, seguim amb les accions del Pla Valencià de Capacitació en Ciberseguretat, que ens permet continuar conscienciant en matèria de Ciberseguretat els nostres adolescents, les seues famílies i els seus docents. Per tant, aquest curs també continuem amb la realització de les jornades presencials i en línia que realitzem des de CSIRT-CV en els centres de secundària de la Comunitat Valenciana. Esperem que aquest curs escolar ens brinde l’oportunitat d’estar presents en tots els centres que ens les sol·liciten. Pots consultar tota la informació en la nostra web concienciaT.

Pel que fa a les alertes i actualitzacions més rellevants de la quinzena:

• • Microsoft publica les actualitzacions de seguretat corresponents al mes de setembre de 2021: Corregeix 86 vulnerabilitats, classificades 3 com a crítiques, 62 com a importants, 1 com a moderada i 20 sense severitat assignada (de Microsoft Edge). La solució consisteix a instal·lar l’actualització de seguretat corresponent. En la pàgina de Microsoft s’informa dels diferents mètodes per a dur a terme aquestes actualitzacions.
  • Actualització de seguretat de SAP de setembre de 2021: Les actualitzacions afecten diversos productes de SAP. Es recomana visitar el seu portal per a obtindre les actualitzacions corresponents.
  • WordPress ha publicat una actualització de seguretat i manteniment que posa pedaços a 3 vulnerabilitats i corregeix 60 errors. Es recomana dur a terme l’actualització al més prompte possible.
  • Diverses vulnerabilitats de severitat mitjana en el core de Drupal: Afecta les versions 9.2, 9.1 i 8.9, les quals han de ser actualitzades.

  • Múltiples vulnerabilitats en PHP 7 i PHP 8, que podrien provocar denegacions de servei. Es recomana l’actualització en totes dues versions.

Una quinzena més us remetem el nostre butlletí amb les principals notícies relacionades amb el món de la ciberseguretat.

Comencem amb la notícia relacionada amb l’empresa EskyFun, associada al món dels videojocs, concretament amb els jocs de rol per a Android. S’ha descobert que emmagatzemava dades de més d’un milió d’usuaris en un servidor vulnerable. Entre la informació exposada es troben dades com l’IMEI, adreça electrònica, número de telèfon i contrasenyes en clar. Aquesta fallada de seguretat pot provocar campanyes de phishing dirigides a aquests usuaris o robatori de comptes en altres serveis, en cas de reutilització de credencials.

Fujitsu sembla que també ha patit el robatori de 4GB de dades relacionades amb els seus clients i s’estarien venent en la Dark Web. Aquest tipus de robatori d’informació és molt suculent sobretot per a les empreses rivals de l’afectada. És per això que sempre us recordem que és necessari tindre un nivell de ciberseguretat que complisca uns certs requisits com a mínim, tant a nivell personal com d’empreses.

Continuem amb el tema de les caixes misterioses d’Amazon. Es tracta de caixes sorpresa que el client sol·licita rebre sense saber què hi ha dins i s’han posat tan de moda que estan apareixent en diversos llocs web, no afiliats amb Amazon, en venda. L’activitat sospitosa d’aquests llocs web podria comportar estafes de phishing.

A primers de setembre vam conéixer que el troià Joker és capaç d’accedir a missatges de text, contactes i subscriure l’usuari del dispositiu a llocs web que ofereixen serveis de pagament, si tenim unes certes app instal·lades en el telèfon intel·ligent. Amplia aquesta informació en el següent enllaç.

De segur que durant aquestes vacances has fet moltes fotografies de les teues activitats i estàs desitjant publicar-les en xarxes socials. Recorda que el que es publica en Internet no s’esborra i no s’oblida. Per això, CSIRT-CV ha publicat en el seu portal concienciaT un post relacionat amb la seguretat en les xarxes socials, així com una sèrie de mesures fàcils i efectives per a protegir la teua informació.

Finalment, i com fa quinze dies, us recordem que a través del Pla Valencià de Capacitació en Ciberseguretat estem conscienciant els nostres adolescents en matèria de Ciberserguretat. Per tant, aquest curs també continuarem amb la realització de les jornades presencials i en línia que realitzem des de CSIRT-CV en els centres de secundària de la Comunitat Valenciana. Esperem que aquest curs escolar ens brinde l’oportunitat d’estar presents en tots els centres que ens les sol·liciten. Pots consultar tota la informació en el nostre web concienciaT.

Pel que fa a les alertes i actualitzacions més rellevants de la quinzena han sigut:

• • Vulnerabilitat en Whatsapp que permet accedir a les dades dels usuaris com ara vídeos, imatges, converses i/o contactes. Es recomana actualitzar a la versió més recent de l’aplicació. En aquest cas, el pegat va consistir a incloure dos nous processos de verificació.
  • Els dispositius BlueTooth tornen a ser vulnerables a causa de BrakTooth. Aquestes fallades podrien causar una denegació de servei i executar codi arbitrari; les vulnerabilitats són explotades sense que el dispositiu estiga emparellat. Els productes de fins a onze proveïdors com ara Intel, Qualcomm, Zhuhai Jieli Technology i Texas Instruments resultarien afectats.

Una vegada més us fem arribar el nostre butlletí amb les principals notícies relacionades amb el món de la ciberseguretat.

Comencem el butlletí destacant una notícia relacionada amb una bretxa de dades que s’ha produït en la Fundació d’Investigació de la Universitat Estatal de Nova York (SUNY) i que ha afectat més de 40 mil persones. Segons s’informa en la notícia, malgrat que s’havien realitzat accessos no autoritzats a les xarxes de la fundació des de principis d’enguany, aquests no van ser detectats fins al mes de juliol. La fundació, juntament amb una companyia de ciberseguretat, ha començat una investigació per a tractar d’aclarir el que ha passat.

Continuem amb una altra filtració de dades, aquesta vegada relacionada amb la companyia de telecomunicacions T-Mobile. La mateixa empresa ha informat que podria haver patit una filtració recent de dades massiva que comprometria la informació personal de prop de 100 milions d’usuaris.

De nou Mirai és protagonista d’una de les notícies destacades de la quinzena. Aquest malware sembla que va ser el causant del major atac DDos registrat per la companyia Cloudflare. L’equip de seguretat va aconseguir detectar a temps l’atac i va poder mitigar-lo sense conseqüències per a l’empresa client.

També durant aquest període s’ha detectat una vulnerabilitat en el S.O. de BlackBerry que podria afectar milions de cotxes i equipament mèdic. L’error detectat en el S.O. QNX RTOS podria permetre executar un codi un arbitrari en els dispositius afectats. En el cas d’aconseguir executar aquest codi, els dispositius podrien quedar inutilitzats i, fins i tot, es podria arribar a controlar-los.

Una altra notícia interessant ha sigut la publicació per part d’Emsisoft d’un software de desencriptat per al ransomware SynAck. Per a poder utilitzar l’eina és necessari fer ús de la nota rebuda quan es va patir l’atac.

Durant els últims dies s’ha publicat una notícia relacionada amb una vulnerabilitat en Microsoft Power Apps. Un error de configuració en l’API ODdata podria comportar l’accés públic a informació confidencial. Entre la informació exposada podria haver-hi dades del seguiment de contactes COVID-19, dates de vacunació, números de seguretat social de demandants d’ocupació, etc.

Finalment, us tornem a recordar que a través del Pla Valencià de Capacitació en Ciberseguretat estem conscienciant els nostres adolescents en matèria de Ciberserguretat. Per a això, el pròxim curs continuarem amb la realització de les jornades presencials i en línia que realitzem des de CSIRT-CV en els centres de secundària de la Comunitat Valenciana. Esperem que el nou curs escolar ens brinde l’oportunitat d’estar presents en tots els centres que ens ho sol·liciten. Podeu consultar tota la informació en la nostra web concienciaT.

Comentem les actualitzacions més rellevants d’aquesta quinzena:

• • Actualització de seguretat de Joomla! 4.0.2. Un control d’accés inadequat en com_media de l’administrador de mitjans podria permetre a un usuari eliminar arxius mitjançant l’execució de comandaments.
  • S’ha publicat un pedaç de seguretat per a FortiWeb. La vulnerabilitat publicada afecta la versió 6.3.7 i les anteriors, per la qual cosa es recomana actualitzar a l’última versió publicada 6.3.8.
  • S’ha detectat una vulnerabilitat en el navegador Brave que provoca la revelació d’informació sensible. La vulnerabilitat afecta la versió 1.27 i les anteriors, per la qual cosa s’haurà d’actualitzar com més prompte millor a la versió 1.28.

Com cada quinzena, us fem arribar el nostre butlletí amb les principals notícies relacionades amb el món de la ciberseguretat.

Iniciem amb una notícia que afecta els dispositius que utilitzen el sistema Android. S’ha identificat un nou troià, anomenat Vultur, que resulta ser un malware que permet l’accés remot (RAT) al dispositiu. Aquest troià és capaç de gravar la pantalla de l’usuari afectat i registrar les pulsacions del teclat, amb la finalitat de robar informació confidencial com ara credencials de banca en línia i altres claus d’accés per a realitzar activitats fraudulentes. Aquest malware era distribuït a través de la plataforma oficial Google Play Store, ocult en una app anomenada Protection Guard, la qual va ser descarregada més de cinc mil vegades.

Un altre troià d’accés remot (RAT) és l’anomenat Fatalrat, un nou malware que infecta milers d’usuaris de Telegram. Es distribueix a través d’enllaços de descàrrega compartits en canals de Telegram. Aquest troià es pot executar de manera remota i disposa d’avançades característiques d’evasió de defenses, generació de persistència en el sistema, keylogging i robatori d’informació confidencial a través d’un canal encriptat. Encara que els experts han trobat múltiples atacs en escenaris reals, s’ignora el nombre aproximat de víctimes.

Respecte als atacs per ransomware, cada vegada més freqüents, s’ha publicat una nova eina de desencriptació que permetria a les víctimes del ransomware Prometheus recuperar els seus arxius sense pagar als ciberdelinqüents. L’eina està disponible en GitHub, encara que l’únic problema amb aquest mètode és que només permet recuperar arxius xicotets. Encara així, la publicació d’aquesta eina sembla haver tingut un impacte positiu per als usuaris, i genera problemes imprevistos per als operadors de Prometheus.

També el phishing està suposant un greu problema quant a ciberseguretat. En aquesta ocasió us parlem d’un grup de ciberdelinqüents que utilitza la imatge del sistema de hosting WeTransfer i de MicrosoftExcel per a desplegar ambicioses campanyes de phishing amb la finalitat de recuperar les credencials de correu electrònic en Office 365 dels usuaris afectats. Les adreces electròniques emprades pels ciberdelinqüents estan elaborades de tal manera que semblen provindre de WeTransfer, i empren imatges i el nom de la companyia. En aquestes s’insta els usuaris perquè descarreguen dos arxius mitjançant un enllaç adjunt. En fer clic a “Veure arxius”, es redirigeixen les víctimes a una pàgina amb un suposat arxiu Microsoft Excel. La pàgina conté un full de càlcul borrós en segon pla i un formulari per a capturar els detalls d’inici de sessió.

Recentment s’ha descobert una campanya de ciberespionatge a través de perfils falsos en xarxes socials. En concret, una campanya d’enginyeria social i malware que el grup iranià TA456 va realitzar contra empleats de defensa i es duia a terme a través de Facebook. Aquest actor d’amenaces va utilitzar el perfil en xarxes socials d’una suposada usuària anomenada “Marcella Flores” per a generar una relació de confiança amb la víctima, tant en diferents plataformes de comunicació corporatives com d’ús personal. A principis de juny de 2021, TA456 va enviar un malware al seu objectiu, un empleat d’una xicoteta filial de defensa aeroespacial, a través d’una cadena de missatges per Gmail. Es tractava d’un document carregat de macros amb contingut molt personalitzat que estava dissenyat per a realitzar un reconeixement en la màquina de l’objectiu. Una vegada que el malware establia la persistència i inspeccionava la màquina infectada, guardava els detalls en el host, exfiltrava informació sensible a un compte de correu electrònic controlada per TA456 i després esborrava el seu rastre.

En el món de la ciberseguretat, les vulnerabilitats apareixen tant en els dispositius com en les aplicacions que s’utilitzen. Fa només uns dies, s’ha publicat un error en el nou Amazon Kindle, que podria permetre el robatori del compte d’Amazon, a més del fet que un atacant remot poguera obtindre el control total del dispositiu. A l’inici de l’any, Amazon ja es va enfrontar a un problema similar que afectava també els productes Kindle, anomenada col·lectivament com “KindleDrip”. Aquesta vulnerabilitat és un exemple més del fet que no es pot abaixar la guàrdia en cap moment i en cap dispositiu.

Esment especial volem donar als telèfons intel·ligents i tauletes, ja que també necessiten protecció. Igual que els ordinadors i portàtils, els dispositius mòbils han d’estar actualitzats, configurats de manera segura i protegits amb un antivirus. Des de CSIRT-CV us donem alguns consells per a incrementar la seguretat i millorar la privacitat.

Sabem que la conscienciació en ciberseguretat és un pilar fonamental per a evitar ser víctimes d’atacs informàtics. Dins de les accions del Pla Valencià de Capacitació en ciberseguretat, estem conscienciant els nostres adolescents en aquesta matèria, a través de les jornades presencials i en línia que realitzem des de CSIRT-CV als centres de secundària de la Comunitat Valenciana. Una vegada més, esperem que el nou curs escolar ens brinde l’oportunitat d’estar presents en tots els centres que ens ho sol·liciten. Podeu consultar tota la informació en el nostre web concienciaT.

Comentem les actualitzacions més rellevants d’aquesta quinzena:

• • Actualizacions de seguretat de Microsoft d’agost de 2021 amb 44 vulnerabilitats: 7 classificades com a crítiques i 37 com a importants. La solució consisteix a instal·lar l’actualització de seguretat corresponent.
  • Actualizació de seguretat de SAP d’agost de 2021, la qual corregeix múltiples vulnerabilitats, algunes d’aquestes crítiques.
  • Diverses vulnerabilitats en Pulse Connect Secure. Es recomana l’actualització com més prompte millor.
  • Actualizació de diverses versions de FortiPortal de Fortinet, a falta d’estar disponibles les restants.
  • Múltiples vulnerabilitats en routers Cisco.

Recordeu que també en vacances hem d’estar sempre alerta dels perills de la xarxa, per a poder mantindre’ns informats i comunicar-nos amb més seguretat.

Feliç estiu!