Publicación de FDTRAINER MANAGEMENT

🔵 El CCN considera al ciberespionaje, hacktivismo y ransomware los principales peligros. Un estudio del Centro Criptológico Nacional analiza las amenazas registradas durante 2023 y las tendencias de los próximos años. El Informe de Ciberamenazas y Tendencias 2024 (CCN-CERT IA-04/24), elaborado por el Centro Criptológico Nacional (CCN) del Centro Nacional de Inteligencia, clasifica las principales amenazas a nivel nacional e internacional en tres tipos principales: actores estatales, colectivos hacktivistas y grupos cibercriminales. Los actores estatales, según la investigación, responden a las necesidades de inteligencia de los Estados y para ello realizan campañas de ciberespionaje y/o sabotaje contra objetivos estratégicos. El informe evidencia que las potencias cibernéticas de Rusia, República Popular China, Corea del Norte e Irán suponen un riesgo para España y describe las capacidades, motivaciones y grupos que las conforman. El documento revela que cerca del 35% de las campañas de ciberespionaje de 2023 han tenido como objetivo organismos gubernamentales. Otros sectores estratégicos, como el de la defensa y el militar, las telecomunicaciones y tecnologías de la información o el energético han sido diana recurrente de actores estatales, pues también manejan información altamente valiosa que podría proporcionar una ventaja estratégica o política a un Estado. Así, un tercio de las operaciones de ciberespionaje registradas en 2023 han tenido como destino países de la OTAN y Ucrania. Los grupos hacktivistas han tomado un papel protagonista en los conflictos armados para promover sus ideas políticas, religiosas o sociales. Durante el año pasado se ha observado actividad cibernética de múltiples actores, aunque fundamentalmente se han observado dos principales focos de tensión: la invasión de Ucrania por Rusia y el conflicto entre Israel y Hamás. En el amplio espectro de grupos hacktivistas, se han analizado los que se centran en el robo y filtración de datos sensibles de objetivos del bando opuesto. La actividad hacktivista que más atención ha captado son los ataques de denegación de servicio distribuida, más conocidos por sus siglas, DDoS. En el mundo del cibercrimen destaca el éxito del modelo de negocio de malware como servicio (MaaS), que amplía el espectro de ciberamenazas a actores inexpertos debido a la facilidad de uso de estos servicios. Además, la Inteligencia Artificial Generativa (IAG) ha captado la atención de múltiples grupos cibercriminales, que están integrando esta tecnología en sus ciberataques para aumentar sus posibilidades de éxito y hacer más rentable su modelo de negocio. Es un modelo, aplicable al ransomware (RaaS), que ha demostrado ser muy efectivo. Ha aportado cuantiosos beneficios a los grupos de cibercriminales. 👇 https://lnkd.in/devctfsw

🔍 𝗔𝗻𝗮́𝗹𝗶𝘀𝗶𝘀 𝘁𝗲́𝗰𝗻𝗶𝗰𝗼: 𝗔𝘁𝗮𝗾𝘂𝗲 𝗿𝗮𝗻𝘀𝗼𝗺𝘄𝗮𝗿𝗲 𝗱𝗲 𝗨𝗻𝗱𝗲𝗿𝗴𝗿𝗼𝘂𝗻𝗱 𝗮 𝗖𝗮𝘀𝗶𝗼... ¿𝗤𝘂𝗲́ 𝗵𝗮𝘆 𝗱𝗲 𝗻𝘂𝗲𝘃𝗼 𝘃𝗶𝗲𝗷𝗼? Reciente ataque a Casio, atribuido al grupo Underground, un viejo conocido que ya dejó alguna víctima del retail en España. Aquí, os comento algunos puntos clave sobre cómo este ataque destaca y qué implica para la estrategia de defensa de cualquier organización. 🛠️ 𝗩𝗲𝗰𝘁𝗼𝗿 𝗱𝗲 𝗮𝘁𝗮𝗾𝘂𝗲 𝘆 𝗧𝗧𝗣𝘀 𝗱𝗲𝗹 𝗚𝗿𝘂𝗽𝗼 𝗨𝗻𝗱𝗲𝗿𝗴𝗿𝗼𝘂𝗻𝗱 🔹Acceso inicial: Aunque no se han divulgado detalles específicos, la persistencia en servidores internos y la explotación de servicios críticos sugiere el uso de tácticas avanzadas. Es probable que los atacantes hayan utilizado vectores de acceso remoto o aprovechado vulnerabilidades en servicios expuestos, una práctica común de actores como Underground, que tienden a explotar configuraciones deficientes. 🔹Cifrado y filtrado de datos (Doble extorsión): ---> Underground usa una combinación de cifrado robusto para inhabilitar los sistemas y técnicas de data exfiltration para recopilar y amenazar con divulgar datos sensibles ----> El grupo emplea el backdoor RomCom, lo que permite la extracción de datos y actividades de espionaje, posiblemente como parte de una fase de recolección de credenciales. Esto fortalece su capacidad para infiltrarse aún más el entorno y comprometer la integridad de las cuentas privilegiadas. 🔹Infraestructura de comunicación y distribución: ----> Underground utiliza canales en Tor y Telegram para negociar y divulgar información. Este enfoque, que combina privacidad y flexibilidad en la comunicación, permite al grupo operar fuera de la detección de tráfico convencional y hace más difícil que las autoridades rastreen sus movimientos. ----> El ransomware incluye un archivo de instrucciones !!readme!!!.txt, destacando su enfoque en tácticas de doble extorsión. Es clave contar con sistemas de detección de IOC que puedan identificar patrones de archivos maliciosos asociados a variantes conocidas de ransomware. 🧩 Indicadores de Compromiso (IOCs) detectados: Durante el análisis de este ataque, se identificaron varios hashes SHA-256 vinculados a los archivos maliciosos distribuidos por el grupo Underground, incluidos: SHA256: 9543f71d7c4e394223c9d41ccef71541e1f1eb0cc76e8fa0f632b8365069af64   9f702b94a86558df87de316611d9f1bfe99a6d8da9fa9b3d7bb125a12f9ad11f   eb8ed3b94fa978b27a02754d4f41ffc95ed95b9e62afb492015d0eb25f89956f   9d41b2f7c07110fb855c62b5e7e330a597860916599e73dd3505694fd1bbe163   cc80c74a3592374341324d607d877dcf564d326a1354f3f2a4af58030e716813   d4a847fa9c4c7130a852a2e197b205493170a8b44426d9ec481fc4b285a92666 🧅 Sitio en Onion: hxxp[:]//47glxkuxyayqrvugfumgsblrdagvrah7gttfscgzn56eyss5wg3uvmqd[.]onion #CyberSecurity #Ransomware #RomCom #XDR #Casio #Underground

CVE-2024-30088 bajo ataque: OilRig apunta a la vulnerabilidad del kernel de Windows Conocido por sus actividades de ciberespionaje dirigidas a sectores críticos en Medio Oriente, OilRig, también conocido como APT34 o Helix Kitten, opera con precisión, explotando vulnerabilidades y empleando técnicas avanzadas para lograr sus objetivos geopolíticos. En su último informe, Picus Labs profundiza en las operaciones de este actor patrocinado por el Estado iraní. El informe destaca la evolución de OilRig, sus campañas históricas y las tácticas avanzadas que utiliza. OilRig surgió en el panorama de las amenazas cibernéticas en 2016, con alguna evidencia que sugiere actividades anteriores. Inicialmente dirigido a organizaciones de Arabia Saudita a través de campañas de phishing y el despliegue de la puerta trasera Helminth, el grupo rápidamente demostró capacidad de persistencia y sigilo a largo plazo. “OilRig ha saltado a la fama con su uso estratégico del Puerta trasera de helminto, una herramienta de malware avanzada que permitía un acceso sigiloso y sostenido a sistemas específicos,” Picus Labs proporciona una descripción detallada de las tácticas, técnicas y procedimientos (TTP) de OilRig a través del marco MITRE ATT&CK. Entre los aspectos más destacados: 1- Acceso inicial: OilRig sobresale en campañas de phishing, a menudo haciéndose pasar por contactos confiables en plataformas como LinkedIn para obtener credenciales. 2- Ejecución: El grupo confía en PowerShell y otras herramientas de secuencias de comandos para la ejecución sigilosa de comandos en entornos comprometidos. 3- Persistencia: Las tareas programadas y las cargas útiles ofuscadas garantizan un acceso continuo, incluso después de esfuerzos parciales de remediación. 4- Evasión de defensa: Las técnicas avanzadas de ofuscación, incluida la codificación base64 y la invocación-ofuscación, permiten a OilRig eludir los sistemas de detección. 5- Acceso a credenciales: Herramientas como Mimikatz y LaZagne permiten la extracción de credenciales de texto sin formato de almacenes de contraseñas y volcados de memoria. 6- Exfiltración: OilRig emplea protocolos alternativos, como túneles FTP y DNS, para extraer datos confidenciales y al mismo tiempo evadir los sistemas de monitoreo. https://lnkd.in/ezn8dbxc

🚨 ALERTA ESPAÑA 🚨 Únete a nosotros para un seminario web cautivador: Defendiendo el Reino: La Batalla contra el Ransomware - Una Historia de Dragones🐲, Castillos🏰 y Fortalezas Digitales💻. Fecha📅: miércoles, 10 de julio de 2024 Hora⏰: 11:00 AM - 12:00 PM GMT+2 Enlace de registro📍: https://rb.gy/ot2ahq Durante este evento exclusivo, exploraremos: 💡Perspectivas sobre diferentes tipos de ransomware y su impacto global, con un enfoque específico en España. 💡Estrategias y mejores prácticas para proteger tu organización y las organizaciones de tus clientes contra amenazas cibernéticas. 💡Introducción a Exertis Enterprise y cómo podemos colaborar para combatir los peligros de los "dragones digitales". No pierdes la oportunidad de fortalecer tus defensas y obtener conocimientos invaluables en la continua batalla contra las amenazas cibernéticas. Espero contar con tu participación.🤖

¡Alerta!🚨 El grupo de espionaje cibernético APT29 intensifica ataques cibernéticos en sectores clave como salud y educación. Reforzemos nuestras defensas en la nube y tomemos medidas proactivas para proteger nuestros datos. Leer más: https://ow.ly/Oy3I50R4cqs #Ciberseguridad #Ciberataques #ProteccionDeDatos #SeguridadEnLaNube #ProteccionDeData #SeguridadDigital

🔵LAS TENSIONES GEOPOLÍTICAS INTENSIFICAN LOS CIBERATAQUES DE OT. En esta entrevista de Help Net Security, Andrew Ginter, vicepresidente de seguridad industrial de Waterfall Security, analiza los ciberataques de tecnología operativa (OT) y su Informe de amenazas 2024 . Examina cómo las tensiones geopolíticas globales y la evolución de las tácticas de ransomware están remodelando la ciberseguridad industrial. Arroja luz sobre la importancia de los incidentes recientes y el papel fundamental de las estrategias defensivas contra estas amenazas crecientes. ¿Cómo ha influido el entorno geopolítico global en el panorama de los ciberataques OT? Los ataques hacktivistas por motivos políticos con consecuencias físicas han aumentado en los últimos años. Casi todos estos ataques están relacionados con la invasión rusa de Ucrania o con el actual conflicto entre Irán e Israel. Históricamente, estos ataques no han sido terriblemente sofisticados, pero todo el mundo está observando el surgimiento de grandes modelos de lenguaje de IA para ver si estas IA harán a los hacktivistas más capaces y en qué medida. Los incidentes entre Estados-nación también están aumentando: los chinos estuvieron detrás de la campaña Volt Typhoon que comprometió a más de 50 plantas de energía y servicios eléctricos en los EE. UU., y los rusos están detrás de un ataque contra 22 proveedores de infraestructura crítica, grandes y pequeños, en Dinamarca. Volt Typhoon fue particularmente digno de mención porque utilizó técnicas de “vivir de la tierra” para persistir, una técnica de ataque que es extremadamente difícil de descubrir y diagnosticar para los sistemas de detección de intrusos. El Informe de amenazas de 2024 destaca un aumento del 19 % en los ciberataques OT en 2023 en comparación con el año anterior. ¿Qué factores cree que están impulsando este aumento constante de los ataques? El ransomware es el principal culpable. Sin embargo, históricamente el ransomware ha impulsado un crecimiento anual compuesto mucho mayor en ataques con consecuencias OT. El 19% es menos de lo que esperábamos este año y atribuimos la diferencia al cambio de táctica. Una fracción de los delincuentes de ransomware parece haber dejado de cifrar los sistemas comprometidos y pasó por completo a extorsionar rescates por prometer no publicar datos robados. Con menos sistemas cifrados y dañados, hay menos consecuencias de OT de las previstas. Esperamos que esta tendencia entre los grupos de ransomware se estabilice, probablemente este año, regresando un crecimiento anual compuesto en ataques OT consecuentes más cerca de aumentos históricos del 60-100% por año.

Cuáles son las amenazas cibernéticas más peligrosas

💥 Ransomware y extorsión: una amenaza en constante evolución 💻 En 2025, el ransomware, la extorsión basada en robo de datos y las tácticas multifacéticas como la doble y triple extorsión seguirán siendo las formas más disruptivas de ciberdelincuencia a nivel global. 🌍 Estas estrategias no solo afectan a las víctimas iniciales, sino que amplifican el daño al incluir amenazas de publicar datos sensibles (doble extorsión) o atacar a clientes, socios o proveedores de la víctima principal (triple extorsión). 🔴 2024 marcó un año crítico, con ataques que interrumpieron el sector salud, bloqueando recetas, pruebas vitales y atención médica en hospitales. Además, más de 100 países y todas las industrias fueron afectados. La cantidad de sitios de filtración de datos se duplicó en comparación con 2023, mientras que los servicios de ransomware "como servicio" (RaaS) consolidaron la profesionalización de esta amenaza. 💡 Reflexión: Ante el aumento de tácticas como la doble y triple extorsión, ¿están nuestras organizaciones preparadas para mitigar los riesgos y proteger a todas las partes involucradas? 🔒 #Ransomware #DobleExtorsión #TripleExtorsión #Ciberseguridad #RaaS #AmenazasDigitales #ProtecciónDeDatos #TransformaciónDigital 🚨

🚨CIAC Alerta: Los actores de amenazas se dirigen a organizaciones afectadas por el incidente de CrowdStrike desde ayer Debido a un mal funcionamiento técnico en el producto CrowdStrike a nivel mundial, los usuarios de CrowdStrike se han visto afectados. Los dispositivos y servidores conectados han sido deshabilitados. Este no es un incidente de piratería, pero los actores de amenazas en la web oscura y profunda están explotando la situación planificando escenarios de ataque en salas de chat privadas. Para aprovechar esta situación, los actores de amenazas se dirigen a los sistemas e instituciones afectados. La lista compartida en un canal de hackers resalta la gravedad de la situación. Si bien tenemos serias preocupaciones sobre la precisión de las listas compartidas, es importante señalar que el verdadero problema radica en la manipulación de la percepción creada por los actores de amenazas.

🚨 Los mayores ciberataques de 2024 – Parte 1 🚨 https://lnkd.in/eqf2u5hm A medida que nos acercamos al final de 2024, hemos presenciado algunos incidentes cibernéticos importantes, y con la temporada navideña a la vuelta de la esquina, podríamos ver más en el horizonte. En este blog nuestro equipo de respuesta a incidentes enumera los más grandes y las lecciones aprendidas de cada uno. Mantente informado y protege tu organización. Lee el blog completo para obtener más información y descubre cómo Integrity360 puede ayudarte a defenderte de estas amenazas. #CiberSeguridad #CiberAmenazas