Butlletí 20/11/2021 – 03/12/2021

Tornem una quinzena més amb un nou butlletí sobre les principals notícies relacionades amb el món de la ciberseguretat.

Comencem amb la notícia de  l’estafa de suplantar la identitat en Facebook per a demanar diners. El modus operandi és el mateix: quan els ciberdelinqüents han pres el control del compte robat, es posen en contacte amb els coneguts de l’usuari afectat per a demanar-los diners.

Al mateix temps, GoDaddy va informar que un atacant va accedir als seus sistemes a través d’una contrasenya compromesa del servei WordPress, exposant informació d’1,2 milions d’usuaris: : adreces de correu electrònic, contrasenyes d’usuaris actius, accés a la base de dades i sFTP (números d’identificació de clients) i, fins i tot, claus privades SSL.

D’altra banda, Pfizer denuncia un robatori de dades intern que ha suposat una filtració d’informació molt sensible per part d’un dels empleats, abans que aquest abandonara la companyia per a treballar en una empresa rival. La filtració va ser detectada gràcies a les mesures de monitoratge establides per l’empresa en relació a les accions dels usuaris, la difusió de fitxers i la pujada de fitxers al núvol.

També s’ha descobert un nou programari maliciós (malware) per al robatori de NFT i criptomonedes. Aquesta campanya té com a objectiu distribuir el programari maliciós “Babadeba”. Aquest programari maliciós permet robar informació i instal·lar troians d’accés remot, així com el programari de segrest (ransomware) LockBit. La manera d’actuar dels ciberdelinqüents és la següent: suplantar els usuaris interessats en criptomonedes i NFT a través de missatges privats, en els quals se’ls sol·licita descarregar una aplicació per a accedir a funcions i beneficis extres. Adopten mesures addicionals com la ciberocupació d’URL dels llocs web cimbell perquè s’assimilen a altres webs legítims.

Així mateix, s’ha descobert una altra campanya de programari maliciós en la qual s’intenta suplantar l’Agència Tributària espanyola. L’Agència Tributària no envia factures, sinó que són els ciberdelinqüents els encarregats d’enviar correus electrònics fraudulents amb l’assumpte “Notificació Urgent”. El correu conté un arxiu .zip amb un arxiu .vbs que descarrega un troià que permet robar informació i realitzar accions malicioses en els equips.

A més, ha aparegut un nou programari de segrest (ransomware) que cifra fitxers amb WinRAR per a eludir proteccions. Xifra els fitxers de l’equip amb contrasenya i elimina els fitxers originals. Per al xifratge, els ciberdelinqüents utilitzen la versió lliure de WinRAR. L’amenaça es dirigeix als equips Windows, i gràcies a Nmap, Npcap o MimiKatz, els atacants aconsegueixen moure’s lateralment en la xarxa per a continuar infectant maquinaris.

Altres notícies destacables són:

      • Microsoft Defender utilitzarà la  IA per a previndre els programaris de segrest ( ransomware). Microsoft Defender ha afegit per a Endpoint una capa basada en la IA per a protegir i previndre els usuaris dels programaris de segrest. Es basa en el model actual de protecció en el núvol. Si existeix risc en un dispositiu per damunt d’un cert llindar, la protecció en el núvol canvia a “bloqueig agressiu”, la qual cosa podria portar a bloquejar per precaució alguns fitxers o processos que podrien ser maliciosos.
      • CSIRT-CV promou la conscienciació a través de les seues publicacions en el portal concienciaT. T’animem a llegir el nostre post STOP Fake News! Tu pots parar les notícies falses, amb consells per a identificar i frenar les campanyes de desinformació i les notícies falses.
      • Les Jornades de Ciberseguretat en centres de secundària promogudes des del Centre de Seguretat TIC de la Comunitat Valenciana, dins del Pla Valencià de Capacitació, i que són executades pel CSIRT-CV amb l’objectiu de millorar els coneixements en ciberseguretat dels ciutadans de la Comunitat Valenciana a Alacant, València o Castelló. Les jornades, de dos dies de duració, estan enfocades principalment a l’alumnat de 2n d’ESO, les seues famílies i l’equip docent del centre educatiu.
      • La celebració de les XV Jornades STIC CCN-CERT sota el lema “Ciberseguretat 360º. Identitat i control de la dada”, en les quals grans professionals de la ciberseguretat, administracions públiques, empreses, universitats i d’altres institucions de l’Estat es reuneixen per a posar en comú i compartir informació. Cal destacar la ponència realitzada pels nostres companys del CSIRT-CV, Lourdes Herrero i José Vila, sobre la posada en marxa del Pla de Xoc de Ciberseguretat per a les Entitats Locals, així com la realitzada per Amparo Marco (alcaldessa de Castelló de la Plana) i Carmen Serrano (CSIRT-CV), “Gestió de crisi: ransomware a l’Ajuntament de Castelló”.

 

Respecte a les alertes i actualitzacions més rellevants de la quinzena:

      • Múltiples vulnerabilitats en Avalanche de Ivanti. Avalanche, en versions anteriors a la 6.3.3, és objecte de cinc vulnerabilitats, quatre de severitat crítica i una d’alta. Les vulnerabilitats són les següents: CVE-2021-42127, CVE-2021-42132, CVE-2021-42129, CVE-2021-42130, CVE-2021-42128.
      • Paquets maliciosos en el repositorio PyPI. PyPI (Python Package Index) és el repositori de programari oficial per a aplicacions de tercers en llenguatge Python, en el qual milers de programadors publiquen els seus desenvolupaments. Es van descobrir 11 paquets maliciosos allotjats, amb més de 40.000 descàrregues en total, que han sigut eliminats.