Butlletí de agost 2022

Un mes més, tornem amb un nou butlletí en què parlarem del ransomware (programari de segrest) i les seues conseqüències.

Els ciberatacs de ransomware superen 1.2 milions d’amenaces al mes. Segons un informe publicat per Barracuda Networks, empresa líder de ciberseguretat a nivell global, entre agost de 2021 i juliol de 2022, els atacs de ransomware han crescut fins als 1.2 milions mensuals. Aquest estudi també assenyala que aquest tipus d’atacs han anat enfocats als sectors següents: educació (15%), municipis (12%), salut (12%), infraestructures crítiques (8%) i empreses de finances (6%). Així mateix, els objectius més afectats van ser els proveïdors de serveis, seguits d’un augment en empreses d’automoció, hostaleria, mitjans de comunicació i comerços minoristes.

A títol informatiu, un atac de ransomware és un tipus de programari maliciós (malware) que xifra els arxius i/o sistemes informàtics per a després demanar el pagament d’un rescat a canvi de retornar l’accés. Impedeix a les víctimes accedir als arxius i/o utilitzar sistemes complets.

Quant a la forma en la qual els ciberdelinqüents infecten els dispositius mitjançant ransomware, destaquem:

      • Paquets d’explotadors. Programes o seqüències de codi dissenyades per a aprofitar vulnerabilitats presents en les aplicacions, xarxes o dispositius. D’ací la importància de mantindre actualitzats sistemes i aplicacions.
      • Phishing. Atac realitzat mitjançant comunicacions electròniques (correu electrònic i trucades telefòniques preferentment), i que suplanta la identitat d’organitzacions o contactes de confiança per a robar dades personals o confidencials. Per exemple, fent-se passar per la teua entitat bancària, sol·licitant-te dades.
      • Malverstising. Introducció d’anuncis maliciosos en xarxes de publicitat en línia. Aquests anuncis apareixen en llocs web populars i de confiança, i o redirigeixen a les víctimes a llocs maliciosos o instal·len malware directament en els ordinadors.
      • Descàrregues drive-by. Els ciberdelinqüents preparen un lloc web amb malware perquè quan la víctima el visite, es descarregue de manera secreta i automàtica el malware en el dispositiu. Importància de no mantindre navegadors i aplicacions obsolets.

Alguns exemples que evidencien la necessitat de protegir-se enfront del ransomware són:

      • El ciberatac patit pels ajuntaments de Navarra. 137 ajuntaments i 35 entitats locals van estar al voltant de tres setmanes sense correu, seu electrònica ni pàgina web. Aquest atac de tipus ransomware va ser llançat des d’un servidor a Lituània. Els ciberdelinqüents sol·licitaven un rescat en criptomonedes.

Finalment, facilitarem alguns CONSELLS útils per a protegir-nos enfront del ransomware. En aquest sentit, el millor és:

      • Comptar amb un bon antivirus i altres eines de seguretat.
      • Mantindre actualitzats sistemes, aplicacions i dispositius per a evitar vulnerabilitats que es convertisquen en porta d’entrada d’aquests atacs.
      • Adquirir coneixements en matèria de ciberseguretat amb l’objectiu d’identificar i previndre possibles atacs.
      • No utilitzar memòries USB desconegudes, ja que aquestes han pogut ser infectades i deixades en llocs públics esperant que algú les use.
      • Utilitzar VPN en xarxes WIFI públiques, ja que aquestes xarxes solen ser utilitzades pels cibercriminals per a escometre aquest tipus de delictes. Són xarxes més exposades.
      • No descarregar arxius de fonts desconegudes. Abans de realitzar qualsevol descàrrega, mireu si la pàgina utilitza el protocol “https” en la barra d’adreces.
      • Realitzar còpies de seguretat de tots els arxius per a garantir que la pèrdua d’informació siga mínima, i tornar al més prompte possible a l’estat anterior a l’atac.

Publicació butlletí mensual

Hui hem emés un nou butlletí mensual amb molts consells sobre ciberseguretat.

Tots els subscriptors del butlletí mensual del CSIRT-CV han rebut l’últim exemplar en els seus correus.

Si voleu ser dels primers a rebre la nostra publicació, podeu subscriure-us ací o, si preferiu llegir-ho en la nostra pàgina podeu fer-ho des d’aquest enllaç.

Apple soluciona dues vulnerabilitats de dia zero crítiques (CVE-2022-32893 i CVE-2022-32894)

Introducción

Apple ha llançat actualitzacions per als sistemes operatius iOS, iPadOS, i macOS que solucionen diverses vulnerabilitats, entre les quals n’hi ha dues de dia zero que són crítiques. [1]

Análisis

Les vulnerabilitats posades pegats més importants són les següents, les quals estan classificades com a crítiques:

      • CVE-2022-32894: Un problema d’execució fora de límits en el Kernel del sistema operatiu que podria ser abusat per una aplicació maliciosa per a executar codi arbitrari amb els privilegis més alts.
        Apple té coneixement d’un informe que indica que aquest problema pot haver sigut explotat activament.
        S’ha solucionat el problema d’escriptura fora dels límits amb una millora de la comprovació dels límits.
      • CVE-2022-32893: Un problema d’escriptura fora de límits en WebKit que podia conduir a l’execució de codi arbitrari en processar un contingut web especialment dissenyat.
        Apple té coneixement d’un informe que indica que aquest problema pot haver sigut explotat activament.

Recomendaciones

Totes dues vulnerabilitats han sigut corregides en iOS 15.6.1, iPadOS 15.6.1 i macOS Monterey 12.5.1, per la qual cosa es recomana actualitzar els dispositius a aquestes versions. [2] [3]

Les actualitzacions de iOS i iPadOS estan disponibles per a l’iPhone 6s i posteriors, l’iPad Pro (tots els models), l’iPad Air 2 i posteriors, l’iPad de cinquena generació i posteriors, l’iPad mini 4 i posteriors, i l’iPod Touch (setena generació).

Referencias

[1] https://thehackernews.com/2022/08/apple-releases-security-updates-to.html

[2] https://support.apple.com/en-us/HT213412

[3] https://support.apple.com/en-us/HT213413

Lloc web simula ser Have I Been Pwned per a robar credencials d’accés

Introducció

Have I Been Pwned és un servei al qual recorren els qui volen verificar si la contrasenya que utilitzen o la seua adreça de correu van ser exposades a conseqüència d’un incident de seguretat que va patir algun servei en línia en què han creat un compte. També ofereix una àmplia base de dades que recopila adreces de correu, contrasenyes i números de telèfon de més de 600 llocs web que han sigut afectats per una bretxa i més d’11.000 milions de comptes exposats.  [1]

Anàlisi

S’ha detectat que els ciberdelinqüents han dissenyat un lloc fals que simula ser el lloc oficial de Have I Been Pwned. Aquest lloc no sols presenta un disseny similar a l’oficial, sinó que la URL és bastant similar, la qual cosa pot fer l’efecte que es tracta del lloc legítim. L’objectiu principal és adquirir adreces de correu i contrasenyes d’usuaris.

A continuació es mostren les diferències entre els dos llocs:

      • En primer lloc, el lloc web original es presenta amb la següent adreça web: https://haveibeenpwned.com/
      • D’altra banda, el lloc web fals presenta una adreça web molt similar:http://haveibeenpwned[.]online/

Els dos llocs presenten un disseny idèntic, l’única diferència s’observa en el fet que el domini original usa .com i en el fals s’usa. online.

Així mateix, mentre que en el lloc web original només es requereix introduir l’adreça de correu o número de telèfon per a verificar si les dades han sigut exposades a una filtració, en el lloc web fals se sol·licita indicar primer l’adreça de correu i immediatament s’hi suma el camp per a agregar-hi la contrasenya.

Finalment, per a no generar sospita en les víctimes, quan s’introdueixen les dades en el lloc web fals, aquest redirigeix al lloc web legítim indicant que les credencials introduïdes no es van registrar en cap bretxa. [2]

Referència

[1] blog.elhacker.net/2022/07/falso-sitio-de-have-i-been-pwned-para-robar-credenciales-usuarios-incautos.html

[2] welivesecurity.com/la-es/2022/07/28/falso-sitio-have-i-been-pwned-roba-contrasenas