Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Boletín de Ciberseguridad, 13 - 19 abril
El grupo de ciberespionaje Earth Hundun desarrolla un nuevo malware
El actor malicioso Earth Hundun ha desarrollado una nueva versión del malware Waterbear que ha sido denominada Deuterbear. De acuerdo con un análisis publicado por Trend Micro, el grupo de ciberespionaje Earth Hundun llevaría actualizando el backdoor Waterbear desde 2009 y lo habría empleado en ataques contra entidades de los sectores tecnológico y gubernamental de Asia-Pacífico.
Waterbear tiene la capacidad de usar técnicas para evitar ser detectado por soluciones de seguridad, así como de descarga y despliegue de un Remote Access Trojan (RAT). Por otro lado, Deuterbear ha sido clasificado como una entidad diferente a Waterbear y no una variante de este, debido a las diferencias en la estructura de configuración y el flujo de descifrado. Asimismo, los investigadores destacan que Deuterbear cifra el tráfico de red mediante HTTPS y presenta actualizaciones en el malware, incluyendo la comprobación de sandboxes y la alteración del descifrado de funciones.
https://www.trendmicro.com/en_us/research/24/d/earth-hundun-waterbear-deuterbear.html
Oracle emite 441 parches para abordar múltiples vulnerabilidades en varios de sus productos
Recientemente Oracle publicó su aviso de actualización de parches críticos del mes de abril. Contiene un total de 441 nuevos parches de seguridad, con el fin de abordar alrededor de 372 vulnerabilidades en varios de sus productos, de las cuales más de 200 podrían ser explotadas por atacantes remotos no autenticados.
En el aviso hay más de 30 vulnerabilidades que fueron clasificadas como críticas con una puntuación CVSSv3 de 9.8 o superior según fabricante. Entre ellas se encuentran CVE-2024-21234, CVE-2024-21235 y CVE-2024-21236, que permiten la ejecución remota de código en diferentes componentes de Oracle. Asimismo, se emitieron parches para una significativa variedad de productos, incluyendo Oracle Communications, que recibió el mayor número de actualizaciones de seguridad, MySQL, Fusion Middleware y Java SE, entre otros.
Por su parte, Oracle recomienda encarecidamente que se apliquen los parches de seguridad lo antes posible para evitar ataques exitosos, ya que algunos clientes han sido comprometidos debido a la falta de aplicación de estos.
https://www.oracle.com/security-alerts/cpuapr2024.html
Proveedor de Cisco Duo víctima de brecha de seguridad
El equipo de seguridad de Cisco Duo, servicio dedicado a la autenticación multifactor, ha emitido un aviso de seguridad en el que alerta a sus usuarios sobre una brecha de seguridad en su proveedor de telefonía. En concreto, Cisco Duo dice que su proveedor, al cual no se identifica, dedicado a la gestión de mensajes de autenticación multifactor (MFA) SMS y VOIP de la empresa, se vio comprometido.
El actor malicioso implicado habría obtenido las credenciales de empleados a través de un ataque de phishing y luego usó esas credenciales para obtener acceso a los sistemas del proveedor de telefonía, desencadenando en la descarga de registros de mensajes SMS y VoIP MFA asociados con cuentas Duo durante el mes de marzo. Entre los datos obtenidos en los registros exfiltrados aparecen números de teléfono, carriers, fechas, datos de localización y mensajes, entre otros.
Desde Cisco señalan que siguen investigando con su proveedor el incidente y que, según este último, el actor malicioso no accedió a ningún contenido de los mensajes ni utilizó su acceso para enviar mensajes a los clientes.
https://app.securitymsp.cisco.com/e/es?e=2785&eid=opguvrs&elq=bd1c1886a59e40c09915b029a74be94e
554 millones de cookies españolas ya están en la dark web
Un estudio reciente realizado por NordVPN ha descubierto que más de 54 000 millones de cookies están en circulación en la dark web, con España encabezando la lista como el primer país europeo con 554 millones de cookies filtradas. Los investigadores examinaron un conjunto de datos de cookies y sus listados disponibles en la web oscura para determinar cómo fueron obtenidas y los riesgos de seguridad y privacidad que representan, así como el tipo de información que contienen.
Los ciberdelincuentes lograrían adquirir esos millones de cookies principalmente a través de malware, como ladrones de información, troyanos y keyloggers. Cuando las cookies, que funcionan como claves digitales para sesiones en línea y datos personales, quedan expuestas, se convierten en un activo valioso para los ciberdelincuentes.
Esta vulnerabilidad puede dar lugar al robo de información personal y financiera, así como al robo de identidad y transacciones no autorizadas. Dadas estas circunstancias, una medida inicial recomendable sería eliminar periódicamente las cookies del navegador.
https://nordvpn.com/es/research-lab/stolen-cookies-study/
Fallo en Atlassian está siendo utilizado para desplegar el ransomware Cerber
Los servidores Atlassian no parcheados están siendo explotados por actores de amenazas para desplegar una variante Linux del ransomware Cerber. Concretamente, estos ataques aprovechan la vulnerabilidad CVE-2023-22518 (CVSSv3 9.8) en Atlassian Confluence Data Center and Server, permitiendo a los atacantes restablecer Confluence y crear una cuenta de administrador.
La campaña consiste en tres cargas útiles C++ altamente ofuscadas, compiladas como un formato ejecutable y enlazable de 64 bits y empaquetadas con UPX lo que hace difícil su detección. Una vez dentro del sistema, instalan el complemento web shell Effluence para ejecutar comandos arbitrarios y luego desencadenar el ransomware Cerber. Este último cifra archivos con la extensión .L0CK3D y deja una nota de rescate. Sin embargo, aunque se afirma en la nota que se filtrarán datos, esto no sucede.
La firma de seguridad Cado Security, quienes observaron estos ataques, afirman que Cerber es una carga útil de ransomware relativamente sofisticada, aunque antigua. No obstante, el uso de la vulnerabilidad de Confluence le permite comprometer una gran cantidad de sistemas probablemente de alto valor.
https://www.cadosecurity.com/blog/cerber-ransomware-dissecting-the-three-heads
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
