16 de septiembre: Informe de inteligencia sobre amenazas


Para conocer los últimos descubrimientos en investigación cibernética de la semana del 16 de septiembre, descargue nuestro Boletín de inteligencia sobre amenazas.

Principales ataques e infracciones

El Puerto de Seattle confirmó que en agosto de 2024, el grupo de ransomware Rhysida llevó a cabo un ciberataque que afectó a sistemas críticos, incluido el Aeropuerto Internacional de Seattle-Tacoma. El ataque de ransomware provocó interrupciones en el servicio a gran escala, incluida la interrupción de los sistemas de facturación, el procesamiento de equipaje y el sitio web del puerto. El puerto se negó a pagar el rescate.

Check Point Harmony Endpoint y Threat Emulation brindan protección contra esta amenaza (Ransomware.Win.Rhysida, Ransomware.Wins.Rhysida).

La empresa de ciberseguridad Fortinet ha confirmado una violación de datos en la que actores de amenazas que operaban en un popular foro de ciberdelincuencia robaron 440 GB de archivos de sus servidores Microsoft SharePoint. El incidente no implicó el cifrado de datos ni el acceso a la red corporativa de la empresa, pero sí resultó en un intento de extorsionar a Fortinet para que pagara un rescate, que la empresa se negó a pagar. Según se informa, la violación involucró una pequeña cantidad de datos de clientes que se almacenaron en una unidad de archivos compartida de un tercero basada en la nube. Las escuelas públicas de Highline en el estado de Washington sufrieron importantes perturbaciones debido a un ciberataque que provocó el cierre de instalaciones y la suspensión de actividades. Aunque ninguna de las partes ha reclamado este incidente, se está llevando a cabo una investigación que involucra a las autoridades federales y estatales para abordar la actividad no autorizada de la red que afecta los sistemas críticos. Varias empresas minoristas francesas, incluidas Boulanger y Cultura, han confirmado que los datos de los clientes fueron robados en un ciberataque por parte de actores de amenazas que operan en foros populares sobre ciberdelincuencia. Los datos robados incluyen nombres de clientes, direcciones e información de contacto, pero no información bancaria. Cultura informó más tarde que había descubierto y solucionado la vulnerabilidad explotada en el ataque. KADOKAWA, la empresa de medios japonesa detrás del manga, el anime y los videojuegos, se enfrenta a otra filtración de datos tras el presunto ataque de ransomware BlackSuit en junio. BlackSuit filtró datos corporativos confidenciales, incluidos contratos e información de los empleados.

Check Point Harmony Endpoint y Threat Emulation brindan protección contra esta amenaza (Ransomware.Wins.BlackSuite, Ransomware.Wins.BlackSuit, Ransomware_Linux_BlackSuit).

La banda de ransomware Blacksuit ha anunciado que se robaron datos confidenciales de los estudiantes en un ataque a la escuela Charles Darwin. Según los informes, el grupo robó información confidencial, incluidos los registros personales de los estudiantes. La Fundación Rusia Libre, una organización sin fines de lucro con sede en Estados Unidos, está investigando una violación de datos vinculada al grupo de hackers Coldriver, vinculado al Kremlin. Se han publicado en línea miles de correos electrónicos y documentos que potencialmente contienen datos estratégicos y financieros confidenciales. La violación tiene como objetivo coordinar con los actuales esfuerzos de ciberespionaje del gobierno ruso para intimidar y reprimir a los partidarios de la democracia.

Vulnerabilidades y parches

El parche mensual de septiembre de 2024 de Microsoft corrige 79 vulnerabilidades, incluidas cuatro vulnerabilidades de día cero, tres de las cuales están siendo explotadas en estado salvaje. Dos de las vulnerabilidades críticas/de alto nivel, la vulnerabilidad de ejecución remota de código de Windows Update (CVE-2024-43491) y la vulnerabilidad de escalada de privilegios de Windows Installer (CVE-2024-38014), requieren parches resaltados como prioridad. Esta actualización también resuelve múltiples vulnerabilidades de escalada de privilegios y ejecución remota de código en múltiples componentes de Windows y productos de Microsoft. Ivanti ha parcheado una vulnerabilidad crítica de ejecución remota de código (RCE) (CVE-2024-29847) en su software Endpoint Manager (EPM), una solución de gestión de terminales empresariales que permite la gestión centralizada de dispositivos dentro de una organización. La vulnerabilidad se debe a una deserialización inadecuada de datos que no son de confianza. Desde entonces, las PoC se han compartido, lo que aumenta el riesgo potencial. Ivanti ha identificado una vulnerabilidad de alta gravedad (CVE-2024-8190) en Cloud Services Appliance (CSA) que permite explotar activamente la ejecución remota de código. La vulnerabilidad afecta a la versión 4.6 de CSA mediante inyección de comandos, y CISA la agregó a su catálogo de vulnerabilidades explotadas conocidas y ordenó que las agencias federales apliquen parches antes del 4 de octubre. Existe una vulnerabilidad de elevación de privilegios (CVE-2024-8253) en los complementos de WordPress Post Grid y Gutenberg Blocks, que afecta a más de 40.000 sitios. Esta vulnerabilidad, que ahora ha sido parcheada, permite a los usuarios autenticados con privilegios mínimos escalar sus privilegios al estado de administrador.

Informe de inteligencia de amenazas

Check Point Research ha identificado ciberataques por parte de actores de amenazas iraníes dirigidos a redes del gobierno iraquí utilizando malware llamado Veaty y Spearal. Las técnicas utilizadas incluyeron puertas traseras pasivas de IIS, túneles DNS y comunicaciones C2 a través de cuentas de correo electrónico comprometidas, lo que sugiere vínculos con el grupo APT34 vinculado al MOIS de Irán. Este ataque puede utilizar ingeniería social para la infección inicial y utilizar una infraestructura C2 sofisticada.

Check Point Threat Emulation y Harmony Endpoint pueden detectar esta amenaza (APT.Wins.Oilrig.ta.B/C/D/E, APT.Win.OilRig.F, APT.Win.OilRig.WA.G, APT. Ganar. OilRig.H).

Check Point publica el Índice de amenazas globales de agosto de 2024, que analiza los principales ransomware, malware y vulnerabilidades explotadas. El informe revela que RansomHub ha alcanzado la cima de la familia de ransomware y Meow ransomware ha experimentado un aumento notable debido a tácticas de extorsión innovadoras. En la parte superior de la lista de familias de malware, FakeUpdates es la más frecuente, con un impacto del 8 % en organizaciones de todo el mundo, seguida de Androxgh0st y Phorpiex. Los investigadores han detectado el resurgimiento de la Operación Crimson Palace, una operación de ciberespionaje respaldada por el estado chino dirigida a agencias gubernamentales y organizaciones de servicios públicos en el sudeste asiático. Esta operación utiliza un nuevo registrador de teclas llamado TattleTale y aprovecha las redes comprometidas como puntos de retransmisión de comando y control para expandir los esfuerzos de espionaje en la región.


https://research.checkpoint.com/2024/16th-september-threat-intelligence-report/