Seguridad

Principales amenazas y tendencias de la semana pasada (del 16 al 22 de septiembre)

23 de septiembre de 2024Lakshmanan encantadoCiberseguridad / Ciberamenaza

¡Agárrate fuerte, porque la ciberseguridad ha sido una montaña rusa la semana pasada! Hemos sido testigos de todo, desde piratas informáticos norcoreanos que ofrecen “trabajos de ensueño” para exponer nuevo malware hasta un giro sorprendente en la saga Apple vs. Apple. Grupo OSN. Incluso el mundo aparentemente mundano de los nombres de dominio y las configuraciones de la nube ha tenido su parte dramática. Profundicemos en los detalles y veamos qué lecciones podemos aprender de la semana pasada.

⚡ Amenaza de la semana

Botnet Raptor Train desmantelada: El gobierno de Estados Unidos ha anunciado la eliminación de la botnet Raptor Train controlada por un actor de amenazas vinculado a China conocido como Flax Typhoon. La botnet constaba de más de 260.000 dispositivos en junio de 2024, con víctimas repartidas por América del Norte, Europa, Asia, África, Oceanía y América del Sur. También atribuyó el actor de la amenaza Flax Typhoon a una empresa que cotiza en bolsa con sede en Beijing conocida como Integrity Technology Group.

🔔 Principales novedades

  • Nuevo malware del grupo Lazarus: Se ha observado que el grupo de ciberespionaje vinculado a Corea del Norte conocido como UNC2970 (también conocido como TEMP.Hermit) utiliza señuelos de phishing con temática profesional para apuntar a víctimas potenciales en el sector energético y aeroespacial e infectarlas con una puerta trasera previamente indocumentada llamada MISTPEN. La actividad también es monitoreada bajo el nombre Operación Dream Job.
  • iServer y Ghost desmontados: Europol ha anunciado el desmantelamiento de una red criminal internacional que utilizaba una plataforma de phishing para desbloquear teléfonos móviles robados o perdidos. En asociación con la Policía Federal Australiana (AFP), la agencia desmanteló una red de comunicaciones cifradas llamada Ghost que permitía a delincuentes serios y organizados cometer delitos en todo el mundo.
  • La APT iraní actúa como proveedor de acceso inicial: Un actor iraní identificado como UNC1860 actúa como facilitador de acceso inicial que proporciona acceso remoto a redes específicas mediante el despliegue de varias puertas traseras pasivas. Este acceso es luego explotado por otros grupos de hackers iraníes afiliados al Ministerio de Inteligencia y Seguridad (MOIS).
  • Apple retira su demanda contra el grupo NSO: Apple ha presentado una moción para desestimar “voluntariamente” su demanda contra el proveedor israelí de software espía comercial NSO Group, citando un panorama de riesgos cambiante que podría conducir a la revelación de información crítica de “inteligencia sobre amenazas”. La denuncia fue presentada en noviembre de 2021.
  • Los ataques de phishing explotan los encabezados HTTP: Una nueva ola de ataques de phishing aprovecha las entradas de actualización del encabezado HTTP para ofrecer páginas de inicio de sesión de correo electrónico falsificadas diseñadas para recopilar credenciales de usuario. Los objetivos de estas campañas incluyen entidades en Corea del Sur y Estados Unidos.

📰 La vuelta al mundo cibernético

  • Sandvine deja 56 países “antidemocráticos”: Sandvine, la empresa detrás de los casos intermedios que han facilidad La compañía, que ha distribuido software espía comercial en ataques altamente dirigidos, dijo que ha salido de 32 países y está en proceso de cesar sus operaciones en 24 más, citando altas amenazas a los derechos digitales. A principios de febrero, la empresa se añadió a la lista de entidades de EE. UU. “El uso indebido de la tecnología de inspección profunda de paquetes es un problema internacional que amenaza las elecciones libres y justas, los derechos humanos básicos y otras libertades digitales que consideramos inalienables”, dijo. dichoNo ha revelado la lista de países que abandonará como parte de esta reforma.
  • Dominio .mobi adquirido por $20: Investigadores de watchTowr Labs gastado Solo tomó $20 adquirir un dominio de servidor WHOIS heredado asociado con el dominio de nivel superior (TLD) .mobi y configurar un servidor WHOIS en ese dominio. Esto llevó al descubrimiento de que más de 135.000 sistemas únicos seguían consultando el servidor WHOIS heredado durante un período de cinco días que finalizó el 4 de septiembre de 2024, incluidas herramientas de ciberseguridad y servidores de correo electrónico para entidades gubernamentales, militares y académicos. El estudio también encontró que presentado que el proceso TLS/SSL para todo el TLD .mobi se había visto comprometido porque muchas autoridades de certificación (CA) todavía estaban usando el servidor WHOIS “malicioso” para “determinar los propietarios de un dominio y dónde se deben enviar los detalles de verificación”. Google desde entonces llamado para detener el uso de datos de WHOIS para verificaciones de dominios TLS.
  • Los errores de configuración de ServiceNow provocan fugas de datos confidenciales: Miles de empresas están exponiendo sin darse cuenta secretos de los artículos de su base de conocimiento interna (KB) a través de errores de configuración de ServiceNow. AppOmni asignado El problema se debe a “configuraciones obsoletas y controles de acceso mal configurados en las bases de conocimiento”, lo que probablemente indica “un malentendido sistemático de los controles de acceso a la base de conocimiento o una posible replicación accidental de las bases de conocimiento, ‘al menos controles deficientes de una instancia a otra mediante clonación'”. . ServiceNow tiene publicado orientación sobre cómo configurar sus instancias para evitar el acceso no autenticado a los artículos de la base de conocimientos.
  • Se corrigió una falla de IA de Google Cloud Document: Hablando de configuraciones erróneas, los investigadores han encontrar que las configuraciones demasiado permisivas en el servicio Document AI de Google Cloud podrían ser aprovechadas por actores maliciosos para piratear depósitos de Cloud Storage y robar información confidencial. Vectra AI describió la vulnerabilidad como un ejemplo de abuso de acceso transitivo.
  • Microsoft planea finalizar el acceso al kernel para el software EDR: Tras las consecuencias masivas del incidente de actualización de CrowdStrike de julio de 2024, Microsoft destacó la “postura de seguridad mejorada y la configuración de seguridad predeterminada” de Windows 11 que ayudan a brindar más capacidades de seguridad a los fabricantes de software de seguridad fuera de acceso en modo kernelTambién dijo que colaboraría con socios del ecosistema para lograr “una mayor confiabilidad sin sacrificar la seguridad”.

🔥 Recursos e información sobre ciberseguridad

Próximos seminarios web

    • Zero Trust: armadura anti-ransomware: Únase a nuestro próximo seminario web con Emily Laufer de Zscaler para profundizar en el Informe de ransomware 2024 y descubrir las últimas tendencias, amenazas emergentes y estrategias de confianza cero que pueden proteger su organización. No te conviertas en una estadística más: ¡regístrate ahora y lucha!
    • Reiniciar el SIEM: de la sobrecarga al monitoreo: ¿Estás abrumado por los datos? Su SIEM debería salvarle la vida, no complicarla. Únase a nosotros para descubrir cómo salió mal el SIEM tradicional y cómo un enfoque moderno puede simplificar la seguridad sin sacrificar el rendimiento. Nos sumergiremos en los orígenes de SIEM, sus desafíos actuales y nuestras soluciones comunitarias para eliminar el ruido y fortalecer su seguridad. ¡Regístrese ahora para disfrutar de un nuevo enfoque de SIEM!

Pregúntale al experto

    • P: ¿En qué se diferencia fundamentalmente Zero Trust de la defensa perimetral tradicional y cuáles son los desafíos y beneficios clave al realizar la transición de una organización de un modelo de defensa perimetral a una arquitectura Zero Trust?
    • A: Zero Trust y la defensa perimetral son dos formas de proteger los sistemas de TI. Zero Trust es como tener múltiples cerraduras en las puertas Y verificar las identificaciones en cada habitación, lo que significa que no confía en nadie y verifica constantemente todo y a todos los que intentan acceder a cualquier cosa. Esto es excelente para detener a los piratas informáticos, incluso si logran infiltrarse, y funciona bien cuando las personas trabajan en diferentes ubicaciones o usan servicios en la nube. La defensa perimetral es como tener un muro sólido alrededor de tu castillo, que se enfoca en mantener alejados a los malos. Pero, si alguien lo atraviesa, tendrá fácil acceso a lo que haya dentro. Este viejo enfoque enfrenta las amenazas y situaciones de trabajo remoto de hoy. Pasar a Zero Trust es como actualizar su sistema de seguridad, pero requiere tiempo y dinero. Vale la pena porque proporciona una protección mucho mejor. Recuerde, esto no es solo una cosa, sino una forma completamente nueva de pensar sobre la seguridad, y una que puede comenzar poco a poco y desarrollarse con el tiempo. Además, no retires la pared por completo, sigue siendo útil como protección básica.

Diccionario de jerga de ciberseguridad

    • Malware polimórfico: Imagine un virus astuto que cambia constantemente su disfraz (firma) para engañar a su antivirus. Es como un camaleón, lo que hace que sea difícil atraparlo.
    • Malware metamórfico: ¡Este es aún más complicado! Se parece a un cambiaformas, que no sólo se cambia de ropa, sino que transforma completamente su cuerpo. Reescribe su propio código cada vez que infecta, lo que hace casi imposible que un antivirus lo reconozca.

Consejo de la semana

Laberinto “Piensa antes de hacer clic”: Navegue a través de una serie de puntos de decisión basados ​​en escenarios del mundo real, eligiendo la opción más segura para evitar trampas de phishing y otras amenazas en línea.

Conclusión

“Errar es humano, perdonar es divino. » -Alejandro Papa. Pero en ciberseguridad, el perdón puede resultar costoso. Aprendamos de estos errores, fortalezcamos nuestras defensas y hagamos del mundo digital un lugar más seguro para todos.

¿Te pareció interesante este artículo? Síguenos en Gorjeo Y LinkedIn para leer más del contenido exclusivo que publicamos.

También puede interesarte

Seguridad

Gpuhammer: la nueva variante de ataque de Rowhammer degrada los modelos AI en las GPU de NVIDIA

2 meses ago
morelljuanjose@gmail.com
Seguridad

Los piratas explotan el defecto crítico de RCE en el servidor FTP Wing

2 meses ago
morelljuanjose@gmail.com
Seguridad

Más de 600 aplicaciones de Laravel expuestas a la ejecución del código remoto debido a la fuga de APP_Keys en GitHub

2 meses ago
morelljuanjose@gmail.com

No te lo pierdas

NFT

NFTs en Latinoamérica 2025: US$ 35.9 M en ingresos y salto del 33% en gaming, RWA y fidelización

Fondeos

Fintech para empresas: el acceso al financiamiento digital en Argentina

Regulación

Regulaciones Fintech en Argentina: Crecimiento del 11.7% en startups y desafíos pendientes hacia 2035

Startups

PaySend Priitatines Latam Expansión con TevisaUnivision Partnerser

Exit mobile version