Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Boletín de Ciberseguridad, 27 julio - 2 agosto
Microsoft Azure sufre ataque de DDoS
La compañía Microsoft ha confirmado que el incidente que paralizó e interrumpió varios servicios de la compañía como Microsoft 365 y Azure en todo el mundo, fue producido por un ataque de denegación de servicio distribuido (DDoS). Según un comunicado de Microsoft, estos hechos se debieron al resultado de un ataque de DDoS, del cual por el momento se desconoce su atribución, y que se amplificó debido a un posible error en la implementación de las medidas de defensa utilizadas por la compañía.
Cabe indicar que dicho incidente tuvo una duración de aproximadamente 10 horas, por lo que numerosas compañías de diferentes sectores que utilizan estos activos se vieron afectados. En base a estos hechos, Microsoft ha indicado que publicará en un plazo de 72h un análisis preliminar sobre este incidente y una revisión más detallada dentro de 2 semanas.
Campaña de phishing “OneDrive Pastejacking” dirigida a Microsoft OneDrive
Investigadores de ciberseguridad de Trellix han detectado una nueva campaña de phishing denominada “OneDrive Pastejacking” dirigida a usuarios de Microsoft OneDrive en Estados Unidos, Corea del Sur, Alemania, India, Irlanda, Italia, Noruega y Reino Unido. Su objetivo es que los usuarios ejecuten, a través de técnicas de ingeniería social, un script malicioso de PowerShell.
El ataque se desarrolla mediante el envío de un correo electrónico que contiene un fichero HTML. Al ejecutarse, el archivo muestra una imagen que simula ser una página de OneDrive, además de incluir un mensaje de error 0x8004de80, un fallo legítimo y real de la aplicación, solicitando al usuario que actualice la caché DNS manualmente para solventarlo junto a unas instrucciones. Si el usuario accede a estas, se le solicita seguir una serie de pasos que, en última instancia, incluyen iniciar PowerShell y pegar un comando codificado en Base64 para, aparentemente, solucionar el supuesto problema.
Vulnerabilidad en los hipervisores ESXi explotada para desplegar ransomware
Una vulnerabilidad recientemente descubierta que afectaría a los hipervisores ESXi estaría siendo explotada por grupos de ransomware. De acuerdo con Microsoft, el fallo CVE-2024-37085, CVSSv3 6.8 según VMware, sería de tipo authentication bypass y permitiría a los atacantes obtener acceso administrativo al hipervisor, lo que a su vez les permitiría cifrar el sistema, acceder a máquinas virtuales y moverse lateralmente.
Aunque Microsoft alertó a VMware de esta vulnerabilidad, lo que propició la publicación de parches, actores maliciosos como Storm-0506, Storm-1175, Octo Tempest y Manatee Tempest habrían estado explotando dicho fallo en diversos ataques. En concreto, los investigadores destacan que los atacantes ejecutaban una serie de comandos para crear un nuevo grupo llamado ESX Admins en el dominio, culminando en múltiples ocasiones en el despliegue de los ransomware Akira y BlackBasta.
Explotada una configuración errónea de Proofpoint en campaña masiva de phishing
Recientemente se conoció una campaña masiva de phishing en la que actores de amenazas explotaron una configuración errónea en el servicio de protección de correo electrónico de Proofpoint. Denominada EchoSpoofing, esta falla de seguridad permitió a los actores de amenazas enviar millones de correos electrónicos de phishing perfectamente autenticados y firmados, aprovechando la base de clientes de Proofpoint, incluyendo empresas y marcas conocidas como Disney, IBM, Nike, Best Buy y Coca-Cola, y distribuyendolos a través de Microsoft Exchange.
Según Guardio Labs, los atacantes usaron cuentas de Office365 controladas por ellos y aprovecharon la configuración permisiva del servidor de distribucción de Proofpoint. Los correos de phishing se creaban en servidores virtuales, pasaban por Office365 y Proofpoint, lo que los hacía parecer genuinos. Además, para el éxito del ataque, los atacantes se valieron de un ID único de la marca falsificada, obtenido del registro MX público. La campaña, que tuvo su origen en enero de 2024, llegó a enviar hasta 14 millones de correos diarios. Proofpoint fue notificada en mayo acerca del problema e indicó que estaban al tanto de los hechos desde marzo y que habían desplegado mitigaciones y alertado a sus clientes. Sin embargo, muchas cuentas comprometidas de Office365 utilizadas en el ataque siguen sin parchear.
GXC Team: actor malicioso de habla hispana siguiendo modelo de MaaS
El equipo de investigadores de Group-IB ha realizado una publicación en la que analizan a un actor malicioso de habla hispana que ofrece servicios de Malware as a Service (MaaS) denominado GXC Team. En concreto, dicho actor fue descubierto en septiembre de 2023, aunque habría iniciado sus acciones en enero del mismo año. Asimismo, destacan que sus servicios afectan a bancos españoles y organismos gubernamentales e instituciones a nivel global.
GXC Team ofrece a sus clientes una combinación de kits de phishing y un malware dirigido contra sistemas Android, el cual se trata de un ladrón de OTP de SMS. No obstante, lo más destacado de este servicio de MaaS es su sofisticada plataforma de phishing como servicio impulsado por inteligencia artificial capaz de generar llamadas de voz a sus víctimas en función de sus indicaciones. En último lugar, cabe indicar que desde Group-IB alertan que, a pesar de que sus herramientas no son muy sofisticadas, las características innovadoras de GXC Team pueden ser una amenaza para la seguridad del sector bancario en España.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
