Una nueva campaña de publicidad maliciosa llevada a cabo por el grupo de ransomware BlackCat utiliza anuncios de búsqueda de Google y Bing. BlackCat está utilizando anuncios intrigantes para atraer a los usuarios a una aplicación de transferencia de archivos que contiene cargas maliciosas y malware. Mediante el uso de WinSCP, un programa de copia de archivos en Windows, los usuarios son redirigidos a una página de descarga de archivos ISO, y así se completa el malware. Utilizando comandos autorizados, los atacantes son capaces de obtener controles de administrador de nivel superior e implementar un acceso de puerta trasera en el sistema antes de restringir el acceso del usuario original. Una vez dentro del sistema y capaces de acceder a la información, los actores de la amenaza pueden entrar y salir utilizando la puerta trasera para obtener contraseñas y servidores de copia de seguridad. Cobalt strike, AdFind, AccessChk64 y findstr son cuatro de las herramientas utilizadas para llevar a cabo el ataque. Estas herramientas ayudaron a iniciar el ataque, saltarse las medidas de seguridad, obtener información y encontrar archivos XML en el sistema. Una vez completado este proceso, se implementaron herramientas de línea de comandos para ayudar a las demás herramientas de la plataforma. Para dar rienda suelta a los datos de los clientes, la banda utilizó el cliente de copia segura PuTTY, que ayudó a identificar el archivo MOVEit Transfer comprometido en el ataque. Los atacantes han encontrado lagunas en muchas organizaciones, y las vulnerabilidades encontradas por estos actores de amenazas han llevado a la destrucción a muchas de ellas.
(Fuente: SCMedia)
Fortinet publicó el mes pasado una actualización que solucionaba el problema de seguridad que ha afectado a más de 300.000 de sus usuarios. El 11 de junio, Fortinet hizo pública esta vulnerabilidad y ejecutó diferentes versiones de actualización. Sin embargo, el parche no fue suficiente, y la vulnerabilidad para la ejecución remota de código, CVE-2023-27997, sigue afectando a miles de personas. El problema de seguridad se situó en 9,8/10 en la escala de puntuación de gravedad. CVE-2023-27997 se originó a partir de un problema en el sistema operativo de Fortinet que alberga todos los diferentes componentes de FortiOS. Los investigadores utilizaron un motor de búsqueda para conocer el número de dispositivos vulnerables al código, y casi la mitad ya estaban actualizados a la última versión que, según Fortinet, solucionaba el ataque en curso. Los investigadores descubrieron además que la aplicación no había realizado una actualización del sistema en ocho años, dejando expuestos los cortafuegos de los usuarios a través de la web.
(Fuente: BleepingComputer)
Meduza Stealer es un malware recién descubierto en la Dark Web que utiliza habilidades avanzadas de robo de datos para atacar a usuarios de Windows. La principal intención de este desconocido actor de amenazas es robar datos del navegador. Historial de navegación, credenciales de cuentas, gestores de contraseñas, autenticación de dos factores, etc. son todas las piezas de información que se pueden adquirir a partir de los datos del navegador. Además, si el dispositivo ya está infectado, Meduza Stealer puede obtener aún más información confidencial, como la ubicación geográfica, capturas de pantalla y la dirección IP. Este malware puede eludir las herramientas de detección y se está comunicando con otros actores de amenazas a través de la Dark Web para participar en esta campaña. Debido a ello, los investigadores temen que este nuevo malware pueda causar graves daños a las organizaciones que sufran filtraciones de datos.
(Fuente: InfoSecurityMagazine)
Los atacantes chinos son responsables de una campaña en curso desde diciembre llamada SmugX. SmugX es una campaña de contrabando HTML. Este grupo de atacantes tiene como objetivo el gobierno europeo colocando cargas maliciosas en documentos HTML. El grupo ha sido responsable de campañas en el pasado, como las chinas APT RedDelta y APT Mustang Panda.
Esta campaña recién identificada indica un cambio en las técnicas de los actores de amenazas chinos. Anteriormente, estos atacantes se dirigían a países como Rusia, Asia y Estados Unidos; sin embargo, ahora este ataque se dirige principalmente también a países europeos. En la campaña global, los atacantes están utilizando unidades USB para liberar software malicioso y atraer a víctimas vulnerables. En el ataque más reciente, SmugX utilizó documentos HTML que contenían malware malicioso relacionado con temas políticos. Uno de los documentos utilizados en la campaña era una carta de la embajada serbia de Budapest. Cuando un usuario abre el documento contaminado, libera JavaScript, que contiene la carga útil. PlugX es una RAT utilizada por los actores de amenazas desde 2008. El proceso sistemático permite a los atacantes obtener una serie de actividades dentro del programa legítimo. Los atacantes pueden crear una carpeta oculta dentro de la aplicación y disponer de una clave de registro Run.
(Fuente: DarkReading)
C10p, un grupo ruso de ransomware, expuso los datos de transferencia de archivos de MOVEit a principios de junio y, a finales de mes, había expuesto los datos de más de 160 víctimas. C10p ha coordinado metódicamente esta campaña durante los dos últimos años. El grupo examinó y analizó la vulnerabilidad de día cero y esperó la oportunidad perfecta para atacar y explotar los datos adquiridos. El grupo probablemente adquirió el día cero de un tercero y realizó muchas investigaciones para adquirir información y llevar a cabo esta campaña tan desarrollada. Debido al éxito continuado de su campaña, la estrategia del grupo está influyendo en las técnicas de otros atacantes. John Hammond, investigador de amenazas de seguridad de Dark Reading, declaró que C10p ha esbozado un modelo de negocio para los ataques de ransomware. Lo que lleva a otras bandas a utilizar potencialmente esta información y aprender de esta exitosa campaña de extorsión.
Detener el número de ataques de día cero a la cadena de suministro puede minimizarse si las empresas son proactivas y cuentan con programas de recompensas por fallos. Además, las frenéticas respuestas a la brecha de MOVEit han creado más caos. Omkhar Arasaratnam, director de la Open Security Foundation, compara esta situación con la de un paramédico que llega al lugar de los hechos. Si los médicos llegan asustados y presos del pánico, no resuelven el problema. De ahí que los profesionales de la seguridad deban mantener la calma y tratar de afrontar la situación con tranquilidad.
(Fuente: DarkReading)
