Boletín 20/11/2021 – 03/12/2021

Volvemos una quincena más con un nuevo boletín sobre las principales noticias relacionadas con el mundo de la ciberseguridad.

Comenzamos con la noticia del timo de suplantar la identidad en Facebook para pedir dinero. El modus operandi es el mismo: cuando los ciberdelincuentes han tomado el control de la cuenta robada, se ponen en contacto con los conocidos del usuario afectado para solicitarles dinero.

Al mismo tiempo, GoDaddy informó de que un atacante accedió a sus sistemas a través de una contraseña comprometida del servicio WordPress, exponiendo información de 1,2 Millones de usuarios (direcciones de correo electrónico, contraseñas de usuarios activos, acceso a la base de datos y sFTP, números de identificación de clientes, e incluso, claves privadas SSL).

Por otro lado, Pfizer denuncia un robo de datos interno que ha supuesto una filtración de información muy sensible por parte de uno de sus empleados, antes de que éste abandonase la compañía para trabajar en una empresa rival. La filtración fue detectada gracias a las medidas de monitorización establecidas por la empresa en relación a las acciones de los usuarios, la difusión de ficheros y la subida de ficheros a la nube.

También se ha descubierto un nuevo malware para el robo de NFT y cripto. Esta campaña tiene como objetivo distribuir el malware “Babadeba”. Este malware permite robar información e instalar troyanos de acceso remoto, así como el ransomware LockBit. La forma de actuar de los ciberdelincuentes es la siguiente: suplantar a los usuarios interesados en cripto y NFT’s a través de mensajes privados en los cuales se les solicita descargar una app para acceder a funciones y beneficios extras. Adoptan medidas adicionales como la ciberocupación de URL de los sitios web señuelo para que se asimilen a las de otras webs legítimas.

Asimismo, se ha descubierto otra campaña de malware en la que se intenta suplantar a la Agencia Tributaria española. La Agencia Tributaria no te envía una factura, sino que son los ciberdelincuentes los encargados de enviar correos electrónicos fraudulentos con el asunto “Notificación Urgente”. El correo contiene un .zip con un archivo .vbs el cual descarga un troyano que permite robar información y realizar acciones maliciosas en los equipos.

Por su parte, un nuevo ransomware cifra ficheros con WinRAR para saltarse protecciones. Cifra los ficheros del equipo con contraseña y elimina los ficheros originales. Para el cifrado los ciberdelincuentes utilizan la versión freeware de WinRAR. La amenaza se dirige a equipos Windows, y gracias a Nmap, Npcap o MimiKatz, los atacantes consiguen moverse lateralmente en la red para continuar infectando máquinas.

Otras noticias destacables son:

      • Microsoft Defender utilizará IA para prevenir ransomware. Microsoft Defender para Endpoint ha añadido una capa basada en IA para proteger y prevenir a usuarios del ransomware. Se basa en el modelo actual de protección en la nube. Si existe riesgo en un dispositivo por encima de cierto umbral, la protección en la nube cambia a “bloqueo agresivo”, lo que podría llevar a bloquear por precaución ficheros o procesos que podrían ser maliciosos.
      • CSIRT-CV promueve la concienciación a través de sus publicaciones en el portal concienciaT. Te animamos a leer nuestro post ¡STOP Fake News! Tú puedes parar las noticias falsas, con consejos para identificar y frenar las campañas de desinformación y noticias falsas.
      • Las Jornadas de Ciberseguridad en centros de secundaria promovidas desde el Centro de Seguridad TIC de la Comunidad Valenciana, dentro del Plan Valenciano de Capacitación, y que son ejecutadas por el CSIRT-CV con el objetivo de mejorar los conocimientos en ciberseguridad de los ciudadanos de la Comunidad Valenciana en Alicante, Valencia o Castellón. Las jornadas, de dos días de duración, se enfocan principalmente en los alumnos de 2º de la ESO, los familiares y docentes del centro educativo.
      • La celebración de las XV Jornadas STIC CCN-CERT bajo el lema “Ciberseguridad 360º. Identidad y control del dato”, en las que grandes profesionales de la ciberseguridad, Administraciones públicas, empresas, Universidades y otras instituciones del Estado se reúnen para poner en común y compartir información. Es de reseñar la ponencia realizada por nuestros compañeros del CSIRT-CV, Lourdes Herrero y José Vila, sobre la puesta en marcha del Plan de Choque de Ciberseguridad para las Entidades Locales, así como la realizada por Amparo Marco (alcaldesa de Castellón) y Carmen Serrano (CSIRT-CV), “Gestión de crisis: ransomware en el Ayuntamiento de Castellón”.

 

Respecto a las alertas y actualizaciones más relevantes de la quincena:

      • Múltiples vulnerabilidades en Avalanche de Ivanti. Avalanche en versiones anteriores a la 6.3.3. es objeto de cinco vulnerabilidades, cuatro de severidad crítica y una alta. Las vulnerabilidades son las siguientes: CVE-2021-42127, CVE-2021-42132, CVE-2021-42129, CVE-2021-42130, CVE-2021-42128.
      • Un exploit ZERO DAY permite adquirir privilegios de administrador en Windows, afectando a los S.O. Windows 10, Windows 11 y Windows Server. Esta brecha de seguridad puede permitir la obtención de privilegios de administrador, haciendo y deshaciendo a placer. La particularidad de este nuevo exploit es que burla el parche número CVE-2021-41379, lanzado por Microsoft en el Patch Tuesday de noviembre.
      • Paquetes maliciosos en el repositorio PyPI. PyPI (Python Package Index) es el repositorio de software oficial para aplicaciones de terceros en lenguaje Python en el que miles de programadores publican sus desarrollos. Se descubrieron 11 paquetes maliciosos alojados, con más de 40.000 descargas en total, que han sido eliminados.