23 de septiembre de 2024Ravie Lakshmanan Ciberseguridad / Amenazas cibernéticas
Todos, por favor, agárrense fuerte. La situación de ciberseguridad de la semana pasada fue una montaña rusa. Hemos visto de todo, desde un hacker norcoreano que se burla del “trabajo de sus sueños” y expone nuevo malware hasta un giro sorprendente en la saga Apple vs. NSO Group. Incluso en el mundo aparentemente mundano de los nombres de dominio y las configuraciones de la nube, hubo drama. Profundicemos en los detalles y veamos qué lecciones se pueden aprender de la semana pasada.
⚡ Amenaza de la semana
Botnet Raptor Train desmantelada: El gobierno de Estados Unidos anunció el desmantelamiento de la botnet Raptor Train controlada por un actor de amenazas vinculado a China conocido como Flax Typhoon. La botnet constaba de más de 260.000 dispositivos en junio de 2024, con víctimas repartidas por América del Norte, Europa, Asia, África, Oceanía y América del Sur. El actor de la amenaza Flax Typhoon también ha sido identificado como Integrity Technology Group, una empresa que cotiza en bolsa con sede en Beijing.
🔔Noticias principales
Nuevo malware de Lazarus Group: el grupo de ciberespionaje vinculado a Corea del Norte conocido como UNC2970 (también conocido como TEMP.Hermit) se dirige a víctimas potenciales en la industria energética y aeroespacial mediante estafas de phishing con temas laborales. Se ha confirmado que el virus está infectado. una puerta trasera previamente indocumentada llamada MISTPEN. Esta actividad también se registra como Operación Dream Job. iServer y Ghost desmantelados: En otra gran victoria para las fuerzas del orden, Europol dice que ha desmantelado una red criminal internacional que utilizaba plataformas de phishing para desbloquear teléfonos móviles robados y perdidos. La agencia se asoció con la Policía Federal Australiana (AFP) para desmantelar una red de comunicaciones cifradas llamada Ghost que permitía graves delitos organizados en todo el mundo. Las APT iraníes actúan como proveedores de acceso inicial: el actor de amenazas iraní, identificado como UNC1860, está actuando como un facilitador de acceso inicial, desplegando varias puertas traseras pasivas para proporcionar acceso remoto a las redes objetivo. Este acceso será aprovechado por otros grupos de hackers iraníes afiliados al Ministerio de Inteligencia y Seguridad (MOIS) de Irán. Apple retira la demanda contra NSO Group: Apple ha presentado una moción para desestimar “voluntariamente” su demanda contra el proveedor israelí de software espía comercial NSO Group. Citaron cambios en el entorno de riesgo que podrían conducir a la filtración de información importante de “inteligencia sobre amenazas”. La demanda fue presentada en noviembre de 2021. Los ataques de phishing explotan los encabezados HTTP: una nueva ola de ataques de phishing está explotando las entradas de actualización en los encabezados HTTP para generar páginas de inicio de sesión de correo electrónico falsas diseñadas para recopilar las credenciales de los usuarios. Los objetivos de la campaña incluyen organizaciones en Corea del Sur y Estados Unidos.
📰 Alrededor del mundo cibernético
Sandvine se retira de 56 países “antidemocráticos”: Sandvine, que proporciona middleboxes que facilitan la entrega de software espía comercial como parte de ataques altamente dirigidos, dice que enfrenta crecientes amenazas a los derechos digitales. La compañía anunció que se había retirado de 32 países y que estaba. en proceso de cesar sus operaciones en 24 países más. La empresa se añadió a la lista de entidades de EE. UU. a principios de febrero de este año. “El uso indebido de la tecnología de inspección profunda de paquetes es un problema internacional que amenaza las elecciones libres y justas, los derechos humanos fundamentales y otras libertades digitales que creemos que son inalienables”, dijo la compañía. La empresa no reveló la lista de países de los que se retiraría como parte de la reforma. Obtenga un dominio .mobi por $20: Por solo $20, los investigadores de watchTowr Labs adquirieron un dominio de servidor WHOIS heredado asociado con un dominio de nivel superior (TLD) .mobi y configuraron un servidor WHOIS en ese dominio. Descubrieron que en los cinco días que finalizaron el 4 de septiembre de 2024, más de 135.000 sistemas únicos, incluidas herramientas de ciberseguridad y servidores de correo electrónico de instituciones gubernamentales, militares y académicas, todavía consultaban servidores WHOIS obsoletos. El estudio también encontró que varias autoridades de certificación (CA) todavía utilizan servidores WHOIS “falsos” para “determinar la propiedad del dominio y dónde se envían los detalles de verificación. También se demostró que el proceso TLS/SSL para todo el TLD mobi estaba comprometido”. . Desde entonces, Google ha pedido a los usuarios que dejen de utilizar datos de WHOIS para la verificación de dominios TLS. ServiceNow mal configurado filtra datos confidenciales: Miles de empresas filtran secretos sin darse cuenta en los artículos de su base de conocimientos interna (KB) debido a ServiceNow mal configurado. AppOmni atribuye el problema a una “configuración de KB obsoleta y controles de acceso incorrectos” y sugiere que probablemente se trate de “un malentendido sistemático de los controles de acceso a la KB, o un control inadecuado de al menos una instancia que podría clonarse en otra instancia”. existe la posibilidad de que se haya copiado accidentalmente. ServiceNow ha publicado una guía sobre cómo configurar sus instancias para evitar el acceso no autorizado a los artículos de KB. Se corrigió la falla de Google Cloud Document AI: hablando de configuraciones incorrectas, los investigadores dicen que las configuraciones demasiado permisivas en el servicio Document AI de Google Cloud podrían permitir que los actores de amenazas se infiltren en los depósitos de Cloud Storage y roben información confidencial. Hemos descubierto que se puede explotar para robar. Vectra AI describió la vulnerabilidad como un ejemplo de explotación de acceso transitivo. Microsoft planea poner fin al acceso al kernel para el software EDR: a raíz del impacto masivo de la actualización fallida de CrowdStrike en julio de 2024, Microsoft planea proporcionar más funciones de seguridad a los fabricantes de software de seguridad más allá del acceso en modo kernel en Windows 11. “mejorar la seguridad postura y valores predeterminados de seguridad”. La compañía también dijo que trabajará con socios del ecosistema para “aumentar la confiabilidad sin sacrificar la seguridad”.
🔥 Recursos e información sobre ciberseguridad
— Próximos seminarios web
Confianza cero: protección contra ransomware: Únase a Emily Laufer de Zscaler en un próximo seminario web para explorar el Informe de ransomware 2024 y conocer las últimas tendencias, amenazas emergentes y estrategias de Confianza cero que pueden proteger su organización. Deja de perderte en las estadísticas y contraataca registrándote ahora. Reiniciar su SIEM: de la sobrecarga al monitoreo: ¿se está ahogando en datos? SIEM debería ser una salvación, no un dolor de cabeza. Descubra por qué fallan los SIEM heredados y cómo un enfoque moderno puede simplificar la seguridad sin sacrificar el rendimiento. Obtenga más información sobre los orígenes de SIEM, los desafíos actuales y las soluciones impulsadas por la comunidad que eliminan el ruido y mejoran la seguridad. Regístrese hoy para obtener nuevas perspectivas sobre SIEM.
— Pregúntale a un experto
P: ¿En qué se diferencia fundamentalmente Zero Trust de la defensa perimetral tradicional? ¿Y cuáles son los desafíos y beneficios clave de pasar una organización de un modelo de defensa perimetral a una arquitectura Zero Trust? R: La confianza cero y la defensa perimetral son dos formas de proteger los sistemas informáticos. La confianza cero es como tener varias cerraduras en la puerta y verificar las identificaciones en cada habitación. Eso significa no confiar en nadie y verificar siempre a todos y a todo lo que intentas acceder. Es excelente para detener a los piratas informáticos incluso si ingresan, y también es efectivo cuando las personas trabajan en diferentes ubicaciones o usan servicios en la nube. La defensa perimetral es como tener un muro fuerte alrededor de tu castillo, enfocado en mantener alejados a los malos. Pero si alguien se abre paso, todo lo que hay dentro es fácilmente accesible. Este antiguo enfoque no está a la altura de las amenazas y situaciones de trabajo remoto actuales. Cambiar a Zero Trust es similar a actualizar su sistema de seguridad, pero requiere mucho tiempo y es costoso. Vale la pena porque proporciona una protección mucho mejor. Recuerde, esto no es una sola cosa, es una forma completamente nueva de pensar acerca de la seguridad, y puede comenzar poco a poco y aumentar con el tiempo. Además, no deseches las paredes por completo. Sigue siendo útil para protección básica.
— Explicación de la terminología de ciberseguridad
Malware polimórfico: imagine un virus astuto que cambia constantemente su disfraz (firma) para engañar al software antivirus. Al igual que los camaleones, son difíciles de atrapar. Malware metamórfico: ¡Este es aún más sofisticado! Es como un cambiaformas, que no solo cambia tu ropa, sino que transforma completamente tu cuerpo. Reescribe su propio código cada vez que infecta, lo que hace casi imposible que el software antivirus lo reconozca.
— Consejo de la semana
Laberinto “Piensa antes de hacer clic”: navega a través de una serie de puntos de decisión basados en escenarios del mundo real y elige la opción más segura para evitar trampas de phishing y otras amenazas en línea.
conclusión
“Errar es el hombre; perdonar es Dios.” -Alexander Pope. Pero en el ámbito de la ciberseguridad, el perdón puede resultar costoso. Aprendamos de estos errores, fortalezcamos nuestras defensas y hagamos del mundo digital un lugar más seguro para todos.
¿Te pareció interesante este artículo? sígueme Gorjeo Para leer más contenido exclusivo nuestro, visítenos en LinkedIn.
https://thehackernews.com/2024/09/thn-cybersecurity-recap-last-weeks-top.html
