Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities.jpg)
Boletín de Ciberseguridad, 18 - 24 de noviembre
El grupo de ransomware 8Base utiliza una variante de Phobos
Cisco Talos ha detectado un aumento en la actividad de los ciberdelincuentes que utilizan el malware Phobos y el troyano SmokeLoader para distribuirlo. Descubrieron que el grupo 8Base utiliza Phobos en sus campañas y lo oculta en cargas útiles cifradas dentro de SmokeLoader, las cuales se descifran y cargan en la memoria del proceso.
8Base ha estado activo desde marzo de 2022 y se ha observado que una muestra de Phobos utiliza la extensión ".8base" para los archivos cifrados, lo que sugiere que 8Base puede ser un sucesor de Phobos o que está utilizando ransomware existente en sus ataques.
Por otro lado, Cisco Talos ha descubierto que Phobos utiliza SmokeLoader para establecer persistencia, eliminar copias de seguridad y cifrar archivos.
Además, el malware utiliza claves cifradas para proteger las funciones adicionales, permitiendo descifrar los archivos bloqueados. Phobos es una variante del ransomware Dharma, que se gestiona de manera centralizada y se vende como un servicio a otros ciberdelincuentes.
Kinsing explota vulnerabilidad en Apache ActiveMQ para atacar sistemas Linux
Investigadores de TrendMicro recientemente descubrieron que el malware Kinsing, también conocido como h2miner, está aprovechando la vulnerabilidad critica CVE-2023-46604, CVSS 9.8, en Apache ActiveMQ para comprometer sistemas Linux mediante la ejecución remota de código.
A pesar de que la falla fue parcheada en octubre, muchos servidores siguen siendo vulnerables lo que permite ejecutar comandos shell arbitrarios. Kinsing, conocido principalmente por dirigirse a sistemas Linux, utiliza exploits públicos para descargar y ejecutar malware, especialmente mineros de criptomonedas, mediante el método ProcessBuilder, que le permite ejecutar scripts bash maliciosos y descargar cargas útiles adicionales en el dispositivo infectado desde procesos a nivel de sistema, lo que le otorga flexibilidad y evita la detección.
De igual manera, antes de implementar el minero, Kinsing elimina competidores, y establece persistencia a través de un cronjob que recupera la última versión de su script de infección y agrega un rootkit. Debido a que la vulnerabilidad está siendo activamente explotada, la recomendación es que se actualice Apache Active MQ a las versiones específicas para mitigar la amenaza.
Citrix pide cerrar todas las sesiones en NetScaler para evitar un ataque por Citrix Bleed
Citrix ha publicado una nota en la que informa a los administradores de sistemas que para estar protegidos de la vulnerabilidad CVE-2023-4966, conocida como Citrix Bleed, además de aplicar el parche publicado en octubre deben borrar todas las sesiones de usuario anteriores y finalizar todas las activas, ya que actores de amenazas han estado robando tokens de autenticación, lo que les permite acceder a dispositivos comprometidos incluso después de haber sido parcheados.
A propósito de la explotación, CISA y el FBI han emitido una nota conjunta en la que advierten de la explotación activa de esta vulnerabilidad por parte del grupo de ransomware LockBit.
La autenticación de Windows Hello en portátiles puede ser eludida
La autenticación por medio de huella dactilar en portátiles Dell, Lenovo y Microsoft puede ser omitida al atacar el chip del sensor de huellas.
Los investigadores de Blackwing Intelligence junto con Microsoft’s Offensive Research and Security Engineering (MORSE) explican cómo, al conectar el portátil a un dispositivo de hacking por USB o a una plataforma diseñada para tal efecto, pudieron llevar a cabo un ataque man-in-the-middle y evitar la autenticación de Windows Hello.
En el caso de los modelos Lenovo ThinkPad T14s y Dell Inspiron 15 se suplantó el ID legítimo por la huella de un atacante, mientras que en Microsoft Surface Pro X se conectó un dispositivo que indica al sistema que el usuario del atacante está autorizado.
Blackwing recomienda a los fabricantes activar el Secure Device Connection Protocol (SDCP), ya que descubrieron que en dos de los tres portátiles este canal seguro entre el host y los dispositivos biométricos estaba desactivado.
💬 Para recibir noticias y reflexiones de nuestros expertos en Ciberseguridad, suscríbete a CyberSecurityPulse, nuestro canal en Telegram: https://t.me/cybersecuritypulse
Imagen de Freepik.
