Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Boletín de Ciberseguridad, 11 - 17 mayo
La Universidad Complutense de Madrid sufre un ciberataque
El pasado viernes varios medios digitales publicaban artículos informando que la Universidad Complutense de Madrid (UCM) había comunicado por correo electrónico a sus alumnos que habría sufrido una intrusión, dejando expuesta información personal de los mismos. En concreto, el incidente afectaría a la aplicación que gestiona las prácticas externas en empresas, por lo que nombres, direcciones, correo electrónico, números de DNI y diversa documentación pueden haber sido comprometidos por los actores maliciosos tras estos hechos.
Debido a este incidente, la plataforma gestionada por la universidad permanece inoperativa y desde la Universidad aseguran que no les consta que se hayan filtrado las credenciales de los usuarios, pero recomiendan a sus alumnos modificarlas. La UCM informó que ha reforzado la seguridad y está trabajando con expertos en seguridad cibernética y las autoridades competentes para abordar la situación tras interponer la correspondiente denuncia.
https://www.elmundo.es/madrid/2024/05/10/663e4244e9cf4a2e3d8b4599.html
Patch Tuesday del mes de mayo de Microsoft
Microsoft ha lanzado su Patch Tuesday correspondiente al mes de mayo en el que ha corregido un total de 61 vulnerabilidades, de las cuales una es considerada con riesgo crítico, 59 como importante y la que resta clasificada con riesgo moderado. Asimismo, cabe destacar que, de entre el total, 2 se tratan de 0-day activamente explotados.
En concreto, dichos fallos de seguridad son los registrados como CVE-2024-30040, CVSSv3 de 8.8 según fabricante, el cual se trata de un error de omisión de la plataforma MSHTML de Windows, y CVE-2024-30051, CVSSv3 de 7.8 según fabricante, que es una vulnerabilidad de elevación de privilegios de la biblioteca principal del Administrador de ventanas de escritorio de Windows (DWM). En último lugar, cabe indicar que se da especial relevancia por su naturaleza a la vulnerabilidad CVE-2024-30044, un error de ejecución remota de código en Microsoft SharePoint Server.
https://msrc.microsoft.com/update-guide/releaseNote/2024-May
CISA y FBI publican un análisis del ransomware Black Basta
En un informe conjunto del FBI, CISA, HHS (Department of Health and Human Services) y MS-ISAC (Multi-State Information Sharing and Analysis Center), se ha publicado un análisis del ransomware Black Basta. Enmarcada en los advisories #StopRansomware, la investigación revela que Black Basta es un Ransomware-as-a-Service (RaaS) que llevaría activo desde 2022, habiendo atacado a más de 500 entidades a lo largo de su historia hasta mayo de 2024. Black Basta obtendría el acceso inicial a los sistemas de las víctimas mayoritariamente mediante spearphishing, aunque también habría empleado el malware Qakbot, credenciales válidas y la explotación de vulnerabilidades de ConnectWise.
Posteriormente, los operadores del ransomware llevan a cabo escaneos de red, movimientos laterales y escaladas de privilegios, evitando ser detectados por soluciones de seguridad, para finalmente exfiltrar y cifrar los datos. Black Basta se caracteriza por llevar a cabo un modelo de doble extorsión, amenazando con publicar los datos exfiltrados en su sitio web de Tor si la empresa afectada no paga el rescate solicitado.
https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-131a
Vulnerabilidad en productos de Apple
Apple ha emitido actualizaciones de seguridad para varios de sus productos entre las cuales destaca una vulnerabilidad que se estima puede haber sido explotada activamente. En concreto, entre los fallos de seguridad destaca el registrado como CVE-2024-23296, CVSSv3 de 7.8, el cual fue parcheado el pasado mes de marzo, pero que se considera que puede haber sido aprovechado previamente a su actualización.
Dicha vulnerabilidad sería una falla de corrupción de memoria en RTKit, el cual se trata de un sistema operativo integrado en la mayoría de los dispositivos de Apple y cuyo aprovechamiento podría permitir a un atacante con capacidad arbitraria de lectura y escritura del kernel eludir las protecciones de la memoria del mismo. Como se ha indicado previamente, Apple solucionó el error de corrupción de la memoria con una validación mejorada en las versiones de iOS 16.7.8 y iPadOS 16.7.8.
https://www.securityweek.com/apple-patch-day-code-execution-flaws-in-iphones-ipads-macos/
Nueva campaña del malware Darkgate
El equipo de investigación X-Labs de Forcepoint ha identificado una reciente campaña de Darkgate. Este malware se distribuye principalmente a través de correos electrónicos de phishing, utilizando archivos adjuntos comunes como XLSX, HTML y PDF. Darkgate está diseñado para ser sigiloso y persistente, lo que complica su detección y eliminación. Sus efectos pueden incluir la pérdida de datos personales, pérdidas financieras por fraude o extorsión, y la exposición de información sensible.
La campaña detectada comienza con correos electrónicos de phishing que simulan ser facturas de QuickBooks, incitando a los usuarios a instalar Java. Al hacer clic en el enlace incrustado, los usuarios son dirigidos a una URL geolocalizada, donde sin saberlo descargan un archivo JAR malicioso.
https://www.forcepoint.com/blog/x-labs/phishing-script-inside-darkgate-campaign
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
