Cibernoticias de la semana 05/02/24 -11/02/24

Securízame:

• Tenemos disponible uno de nuestros planes de formación estrella, el de DFIR y Análisis Forense, que culmina con el examen de certificación 100% práctico IRCP (Incident Response Certified Professional), una certificación cada vez más valorada en las ofertas de trabajo de importantes empresas. Tenemos aproximadamente un 70% de las plazas ya cubiertas, así que si te interesa, no tardes.

Ciberincidentes:

• Filtración de 13.500 datos personales de la web de control de acceso a edificios de la IGAE del Ministerio de Hacienda de España.
• Roban 24 millones a una empresa usando IA: suplantan al CEO con 'deepfake' en una videollamada.
• Las estafas con deepfake van a hacer mucho daño a las empresas que no formen en ciberseguridad a todos sus empleados.
• R00TK1T supuestamente se infiltró en los sistemas internos de DELL. El grupo afirma haber accedido a datos confidenciales de la empresa.
• Brecha en AnyDesk. Supuestamente, la base de datos de AnyDesk está a la venta. El actor de amenazas afirma estar vendiendo una base de datos que contiene 18.317 detalles de cuentas. El precio: $15,000.
• AnyDesk revoca los certificados de firma y las contraseñas del portal después de que los delincuentes se cuelen en sus sistemas.
• El grupo Medusa Team ransomware ha anunciado a Digitel Venezuela en la lista de víctimas. Digitel es una empresa de telefonía móvil de Venezuela y la primera del país en desplegar una red GSM y establecer un esquema de cobro por segundo.
• El FBI interrumpe la actividad de una botnet (KV) china eliminando el malware de los routers infectados.
• HPE está investigando denuncias de una nueva vulneración de su seguridad.
• Supuestamente se vende acceso no autorizado a una energética española. La empresa tiene unos ingresos de mil millones de dólares. El grupo también afirma tener bases de datos de esta empresa, incluida la base de datos de clientes con 800.000 registros.
• La red de Telefónica sufre una doble caída. Ambas caídas han sido solventadas en menos de una hora.
• El grupo chino Volt Typhoon no logra reconstruir la botnet después del desmantelamiento del FBI.

Ciberguerra:

• Grupos chinos se escondieron en la red de infraestructura de EE. UU. durante 5 años.
• Grupos chinos aprovecharon la vulnerabilidad de FortiGate para vulnerar la red militar holandesa.
• El grupo de ransomware Shadow (anteriormente Comet) cambia de nombre a DARKSTAR. La banda ha atacado principalmente a organizaciones rusas.
• El software espía Pegasus atacó los iPhone de periodistas y activistas en Jordania.
• Ucrania se enfrenta a la crisis del malware PurpleFox: desentrañando la batalla en curso y las contramedidas.
• Los rusos APT28 apuntan a organizaciones de alto valor con ataques de retransmisión NTLM.
• Chips con arquitectura open source: la solución de urgencia de China para esquivar el bloqueo de EEUU.
• Cómo España ha ganado el mundial de ciberseguridad (y ha derrotado a Israel).
• Reporte de Transparencia de NSO Group 2023.
• Los hutíes pueden sabotear los cables de Internet occidentales en el Mar Rojo, advierten empresas de telecomunicaciones de Yemen.
• NoName057 supuestamente llevó a cabo ataques DDoS en sitios web españoles, citando el motivo de que militares ucranianos estaban siendo entrenados en España.

Malware y Ransomware:

• El lado oscuro de Temu, la app más descargada que regala productos y que anima a comprar como un millonario.

Vulnerabilidades:

• Akira Ransomware y explotación de la vulnerabilidad Cisco Anyconnect CVE-2020-3259.
• Fortinet advierte que una nueva vulnerabilidad crítica de ejecución remota de código en FortiOS SSL VPN está siendo potencialmente explotada en ataques.
• Doble problema para los clientes de Fortinet ya que se encontraron un par de vulnerabilidades críticas en FortiSIEM. CVE-2024-23108 y CVE-2024-23109 (CVSS 10): Inyección de comandos en Fortinet FortiSIEM.
• Escapar del Sandbox: CVE-2024-21399 Vulnerabilidad RCE en Microsoft Edge.
• Se ha publicado un parche gratuito no oficial para una nueva vulnerabilidad Zero-Day de Windows denominada EventLogCrasher que permite a los atacantes bloquear de forma remota el servicio de registro de eventos en dispositivos dentro del mismo dominio de Windows.
• CVE-2024-0031: Vulnerabilidad crítica de ejecución remota de código en Android.
• Canon advierte sobre vulnerabilidades críticas en impresoras: posibilidad de ataques de RCE y DoS.
• Las actualizaciones de diciembre de Microsoft Outlook activan alertas de seguridad de ICS.
• El nuevo día cero de Ivanti SSRF ahora está bajo explotación masiva.

Misc:

• Interesante video sobre cómo hacer bypass y obtener la clave de cifrado de Bitlocker.
• Microsoft lleva el comando sudo de Linux a Windows Server.
• El colectivo Anonymous ha anunciado un programa de referencia para los servicios Privacy Shield VPN y CloudStorm DDoS del grupo. Están ofreciendo un plan gratuito a las personas que refieren a un cliente que compra cualquier plan de sus servicios VPN y DDoS.
• Hacia SSH3: cómo HTTP/3 mejora los shells seguros.
• Binance retira a XMR de su plataforma, lo que parece un elogio a la eficacia en preservar la privacidad que tiene esta criptomoneda.
• Microsoft, Telefónica, GSMA, Lenovo, INNIT, LG AI Research, Salesforce y Mastercard acuerdan crear una inteligencia artificial "más ética".
• Condenan a 40 años de cárcel al hacker que filtró miles de documentos de la CIA a WikiLeaks.
• AWS: Informe de certificación C5 Tipo 2 de 2023 disponible, que incluye dos nuevas regiones y 170 servicios en alcance. El esquema de certificación C5 está respaldado por el gobierno alemán y fue introducido por la Oficina Federal de Seguridad de la Información (BSI) en 2016. AWS ha cumplido con los requisitos C5 desde su inicio. C5 ayuda a las organizaciones a demostrar seguridad operativa contra amenazas comunes de ciberseguridad cuando utilizan servicios en la nube dentro del contexto de las Recomendaciones de seguridad para proveedores de computación en la nube del gobierno alemán.
• Cifrado de BitLocker roto en 43 segundos con Raspberry Pi Pico de menos de $ 10: la clave se puede detectar cuando se usa un TPM externo. En el vídeo, publicado por el usuario stacksmashing, se utilizó una computadora portátil Lenovo. La técnica también se basa en tener un Módulo de plataforma segura (TPM) separado de la CPU. En muchos casos, los dos se combinarán, en cuyo caso no se podrá utilizar la técnica que se muestra.