Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Boletín de Ciberseguridad, 17 - 23 de febrero
Desmantelada la infraestructura del ransomware LockBit
La Agencia Nacional contra el Crimen del Reino Unido (NCA), en colaboración con agencias policiales de otros 10 países entre las que se encuentra el FBI, han interrumpido la infraestructura y servicios de los operadores del ransomware LockBit.
Los hechos tuvieron lugar el lunes 19 de febrero, momento en que el sitio web de LockBit comenzó a mostrar un banner indicando que las agencias anteriores habían logrado desarticular la infraestructura de esta amenaza. Según Cyberscoop, el FBI ha obtenido acceso a casi 1.000 claves de descifrado, lo que permitiría la posible recuperación o remediación de las operaciones de extorsión de LockBit que se encuentran en curso.
Los gestores de LockBit han identificado que habrían sido comprometidos debido a la explotación de la vulnerabilidad de PHP registrada como CVE-2023-3824, CVSSv3 de 9.8.
Servicio de AWS utilizado para campañas de smishing
Investigadores de seguridad de SentinelOne han descubierto un script Python malicioso, al que han apodado como SNS Sender, el cual se anuncia como una forma para que los actores amenaza envíen mensajes masivos de smishing aprovechando el Servicio de Notificación Simple (SNS) de Amazon Web Services (AWS).
Estos mensajes están diseñados para propagar enlaces maliciosos que capturan información de identificación personal y detalles de tarjetas de crédito. SNS Sender es también la primera herramienta observada en la naturaleza que aprovecha AWS para llevar a cabo ataques de spam mediante mensajes SMS y, según los investigadores, existen evidencias que sugieren que esta operación puede haber estado activa al menos desde julio de 2022.
Análisis del ransomware Alpha muestra similitudes con NetWalker
El ransomware Alpha, descubierto recientemente, tiene similitudes con el Ransomware-as-a-Service NetWalker, que dejó de operar en 2021. De acuerdo con un análisis publicado por Netenrich, Alpha añade una extensión de ocho números aleatorios a los archivos cifrados y ha cambiado el contenido de la nota de rescate en varias ocasiones, incluyendo actualmente un TOX ID para contactar con los operadores del ransomware.
Por otro lado, los investigadores de Symantec Threat Hunter Team afirman que, debido a la similitud de las herramientas, tácticas, técnicas y procedimientos entre ambos, es posible que NetWalker y Alpha estén relacionados ya que han observado que ambos emplean un loader basado en Power-Shell para desplegar sus cargas útiles, sus códigos se solapan y sus portales de pago emplean el mismo mensaje, entre otras similitudes.
Detectada campaña de Anatsa que apunta a Europa
El troyano bancario Anatsa ha afectado a usuarios de Europa, infectando dispositivos Android a través de aplicaciones maliciosas en Google Play, en una nueva campaña observada desde noviembre de 2023. Investigadores de ThreatFabric observaron cinco oleadas distintas de esta campaña en las que se distribuyó el malware en Reino Unido, Alemania, España, Eslovaquia, Eslovenia y Chequia, con 150.000 infecciones.
Anatsa, también conocido como TeaBot y Toddler, se distribuye a través de droppers que se hacen pasar por aplicaciones aparentemente inofensivas en Google Play Store, explotando con éxito el servicio de accesibilidad, y eludiendo la configuración restringida de Android 13.
Parcheada una vulnerabilidad de severidad alta en Shortcuts de Apple
Los investigadores de Bitdefender han descubierto una nueva vulnerabilidad que afecta a la aplicación Shortcuts de Apple, y que permitiría a un atacante acceder y usar datos sensibles sin requerir interacción con el usuario.
El fallo registrado como CVE-2023-23204, CVSSv3 de 7.5 y tiene su origen en la acción shortcut Expand URL, que permite expandir y limpiar URLs que han sido acortadas, a la vez que elimina los parámetros de seguimiento UTM. Un actor amenaza podría emplear esta vulnerabilidad para transmitir los datos codificados en base64 de un dato sensible seleccionado dentro de Shortcuts a un servidor web malicioso.
Asimismo, los datos ya filtrados pueden ser capturados y guardados en formato imagen con utilidades como Flask. El fallo ya ha sido reportado a Apple, empresa que publicó los parches necesarios el 22 de enero en las siguientes versiones de sus productos: iOS 17.3, iPadOS 17.3, macOS Sonoma 14.3 y watchOS 10.3.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
