Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities.jpg)
Boletín de Ciberseguridad, 26 agosto - 1 septiembre
Nuevas variantes de ransomware Lockbit
El equipo de investigadores de Kaspersky ha publicado un artículo informando sobre la aparición de nuevas cepas del ransomware LockBit. En concreto, los expertos señalan que, desde septiembre de 2022, momento en que se produjo una filtración en la red del builder de Lockbit, ha permitido que cualquiera pueda crear una versión personalizada del ransomware. Desde Kaspersky apuntan a que, del total de 396 muestras identificadas, 312 artefactos se asocien a variantes provenientes de dicha filtración.
Cabe destacar que de estas nuevas versiones se ha detectado un incidente mediante el cual el procedimiento de la nota de demanda de rescate ha variado. En ella se observa como titular el nombre de un grupo denominado National Hazard Agency, que se suma al de otros grupos que utilizan variantes denominados como Bl00dy y Buhti, y en el que se indica directamente la cantidad a pagar y dirige sus comunicaciones a un servicio Tox y a un correo electrónico, al contrario que con el grupo lockBit que no mencionaban cantidad y la comunicación se realizaba en su plataforma.
A modo de conclusión, desde Kaspersky indican que, de las muestras analizadas, 77 no llevarían en la nota el nombre de Lockbit.
Vulnerabilidad en Intel CPU afecta a sistemas Windows
Microsoft ha publicado un artículo en el que alerta de un nuevo ataque que estaría explotando la vulnerabilidad Downfall en dispositivos Windows. La vulnerabilidad, identificada como CVE-2022-40982, con CVSS de 6.5, afecta a varias versiones de procesadores Intel y a todas las versiones de Windows 10, Windows 11 y Windows Server 2019 y 2022.
Se trata de un fallo que cuya explotación exitosa permitiría a un usuario autenticado habilitar la divulgación de información a través del acceso local, pudiendo utilizarse para inferir datos de CPU afectadas, como el kernel de usuario, los procesos, las máquinas virtuales y los entornos de ejecución confiables.
Cabe destacar que la vulnerabilidad ha quedado mitigada con la actualización del microcódigo Intel Platform Update 23.3.
Campaña maliciosa atacando activos Citrix NetScaler
El equipo de investigadores de Sophos ha realizado una publicación en su perfil de Twitter en la que señala actividad de una campaña maliciosa explotando una vulnerabilidad en Citrix NetScaler.
En concreto, el fallo de seguridad al que hace referencia se trata de la CVE-2023-3519, que según los expertos un actor amenaza, probablemente atribuido a FIN8, llevaría desde el presente mes de agosto aprovechando dicha vulnerabilidad que le permitiría realizar inyecciones de cargas útiles, implementa scripts de PowerShell ofuscados y colocar webshells PHP en los sistemas de las víctimas. Asimismo, desde Sophos han señalado al medio digital BleepingComputer que debido a la posible atribución del actor FIN8, este podría tener como fin concreto de la campaña infectar a sus víctimas con la distribución del ransomware BlackCat.
En último lugar, cabe indicar que la vulnerabilidad CVE-2023-3519 dispone de parches desde el pasado mes de julio, no obstante, se estima que en agosto aún se encontraban más de 31.000 activos expuestos vulnerables.
Vulnerabilidad de criticidad alta parcheada en Google Chrome
Google ha parcheado una vulnerabilidad de criticidad alta que afecta a Chrome en la nueva actualización de seguridad, versión 116.0.5845.140 para Mac y Linux, y 116.0.5845.140/.141 para Windows, que será lanzada en los próximos días. La vulnerabilidad registrada como CVE-2023-4572, es de tipo use after free y afecta a MediaStream.
Un atacante podría explotar este error para manipular el activo si dicho programa no elimina el puntero de una localización de memoria después de liberarla. Además, Google ha informado de que las actualizaciones que parcheen vulnerabilidades de seguridad de alto impacto serán lanzadas semanalmente, en vez de cada cuatro semanas, con el objetivo de implementar soluciones de seguridad más rápido.
Con esto, la empresa también pretende que las actualizaciones semanales ayuden a resolver la brecha de parches en el ciclo de lanzamientos de Chrome.
Análisis de las nuevas variantes de SapphireStealer
SapphireStealer es un malware de tipo stealer programado en .NET y enfocado en el robo de credenciales de bases de datos de navegadores, cuyo código fue publicado por primera vez en diciembre de 2022 GitHub. Sin embargo, los investigadores de Cisco Talos afirman que a principios de 2023 nuevas versiones empezaron a ser publicadas, existiendo en la actualidad múltiples variantes de este malware que están siendo explotadas por varios actores amenaza.
Mientras que SapphireStealer puede robar información sensible de los dispositivos infectados, incluyendo capturas de pantalla, credenciales de navegadores e información del host; las nuevas variantes también parecen estar centradas en la mejora de la exfiltración de los datos. En último lugar, cabe indicar que este stealer también ha sido empleado en conjunto con otro malware, FUD-Loader, en infecciones multietapa.
