Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Boletín de Ciberseguridad, 26 mayo - 7 junio
Google corrige hasta 37 vulnerabilidades en el boletín de seguridad de Android de junio
Google ha emitido el boletín de seguridad de Android correspondiente a junio de 2024 con el que soluciona hasta 37 vulnerabilidades, incluyendo varios fallos de elevación de privilegios. En la primera sección, con el nivel de parche 2024-06-01, se corrigen 19 fallos en Framework y System, siendo el más grave una vulnerabilidad en System que podría dar lugar a una escalada local de privilegios sin necesidad de privilegios de ejecución adicionales.
Asimismo, otras siete fallas en System y doce en Framework, relacionados mayormente con la elevación de privilegios, han sido resueltas. En cuento a la segunda sección, con nivel de parche 2024-06-05, esta aborda 18 vulnerabilidades en componentes de Kernel, Imagination Technologies, Arm, MediaTek y Qualcomm, siendo tres fallos en Qualcomm los más críticos. Finalmente, Google no menciona que ninguna vulnerabilidad haya sido explotada. Sin embargo, se recomienda aplicar los parches de seguridad a la mayor brevedad posible.
Microsoft alerta sobre ataques a dispositivos OT
Microsoft ha publicado un aviso sobre la importancia de la seguridad de dispositivos de tecnología operativa (OT) expuestos a internet, aviso motivado por la detección de una oleada de ciberataques dirigidos a este tipo de entornos desde finales de 2023. En concreto, Microsoft afirma que un ataque a dispositivos OT podría permitir a actores maliciosos manipular parámetros críticos utilizados en procesos industriales, provocando fallos de funcionamiento a través del controlador lógico programable (PLC) o utilizando los controles gráficos de la interfaz hombre-máquina (HMI).
Asimismo, los sistemas OT son propicios a ser explotados por los atacantes debido a que tienden a carecer de los mecanismos de seguridad adecuados, lo cual también es agravado debido a los riesgos adicionales asociados a la conexión directa con internet.
Riesgo de ciberataques en los Juegos Olímpicos de París 2024
Los Juegos Olímpicos de París 2024 plantean una serie de preocupaciones en el ámbito de la ciberseguridad. Empresas como Google o Microsoft han publicado recientemente acerca de las ciberamenazas con mayor probabilidad de impactar contra entidades francesas con motivo de la celebración de los juegos en julio y agosto de este año. Mandiant ha alertado de la posibilidad de que diferentes tipos de actores maliciosos lleven a cabo ciberataques contra los Juegos. Las posibles tipologías de ataque incluirían operaciones de ciberespionaje e información, acciones hacktivistas o motivadas económicamente, así como otros ataques disruptivos y destructivos.
Por otro lado, Microsoft ha destacado dos operaciones de información que se estarían llevando a cabo actualmente por los actores maliciosos Storm-1679 y Storm-1099, que tendrían como objetivo tanto atacar la reputación del Comité Olímpico Internacional como crear la expectativa de violencia en los Juegos.
Análisis de RansomHub señala su procedencia en ransomware Knight
El equipo de investigadores de Symantec ha publicado un informe en el que señala que el origen del ransomware RansomHub sería el extinto Knight. En concreto, los expertos señalan que existen múltiples similitudes entre ambas familias de ransomware, entre ellas destaca que están escrita en Go y utilizan Gobfuscate para ofuscar, existe mucha superposición de código, las notas de rescate son similares, los menús de ayuda de la línea de comandos de los dos ransomware son idénticos, utilizan técnicas de ofuscación similar, entre otras.
Cabe indicar que RansomHub apareció por primera vez en febrero de 2024, momento en el cual coincide con la venta del código fuente de Knight. En último lugar, se estima que RansomHub ha crecido hasta convertirse en una de las operaciones RaaS más prolíficas, ya que se atribuye que afiliados de otras herramientas como Blackcat, Notchy y Scattered Spider estarían tras ello.
La función Recall de Microsoft podría permitir la exfiltración de datos
Investigadores de seguridad han demostrado cómo los actores de amenaza podrían robar datos recopilados por la función Recall de Microsoft. Recall, activada por defecto en nuevos PC Copilot+, permite a los usuarios de Windows encontrar fácilmente información vista anteriormente en su PC mediante capturas de pantalla periódicas. Microsoft intentó restar importancia asegurando que los datos se procesan localmente y se necesita acceso físico y credenciales válidas para obtenerlos, pero los investigadores han refutado esta afirmación.
Concretamente, Marc-André Moreau mostró cómo una contraseña puede recuperarse fácilmente de una base de datos SQLite sin cifrar. Alexander Hagenah creó TotalRecall, una herramienta de código abierto que extrae datos de Recall. Asimismo, Kevin Beaumont advirtió que los infostealers pueden modificarse para robar datos de Recall, demostrando que un malware comercial puede exfiltrar información antes de ser detectado por Microsoft Defender.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
