El grupo chino de phishing "PostalFurious" fue descubierto en abril de 2023 por Group-IB, una organización de inteligencia de amenazas de Singapur, tras detectar una táctica de smishing que PostalFurious utilizaba para replicar a empresas postales y operadores de peaje de toda la zona Asia-Pacífico (APAC).
La banda de phishing ha ampliado recientemente sus operaciones a Oriente Medio, en particular a los Emiratos Árabes Unidos (EAU), con el objetivo de obtener datos personales y financieros de los residentes en esa región. Actualmente, estos ciberdelincuentes están enviando mensajes de phishing y smishing en los que se indica a los destinatarios que paguen servicios utilizando una URL que oculta el dominio fraudulento y los redirige a una página de pago falsa en la que introducen su nombre completo, dirección particular e información financiera. No está claro a quién se dirigen, pero están empezando a hacerse pasar por entidades gubernamentales como los operadores postales. Para escapar a la detección y al acceso no autorizado, las bandas de phishing emplean estrategias de acceso muy hábiles. Sin embargo, Group-IB descubrió la conexión cuidadosamente oculta de la campaña entre APAC y los EAU, ya que ambos tenían la misma infraestructura y actividad de codificación.
(Fuente: InfoSecurity)
Enzo Biochem, una empresa de ciencias de la vida y diagnóstico molecular, presta servicios de investigación clínica a pacientes y fabrica productos como pruebas de ADN. El 6 de abril de 2023, la empresa identificó por primera vez un ataque de ransomware que había vulnerado su sistema externo, pero no estaba segura de qué información había sido violada. Una semana más tarde, descubrieron que el ataque había afectado a nombres de clientes e información de pruebas, y posteriormente hicieron públicas las últimas noticias.
Enzo Biochem hizo oficial la filtración la semana pasada, el 30 de mayo, mediante la presentación de documentos ante la Comisión de Seguridad e Intercambio (SEC). Así se informó a 2,47 millones de personas de todo Estados Unidos de que este ciberataque había expuesto su información sanitaria protegida (PHI) y su información personal identificable (PII), como los números de la seguridad social.
En el artículo, Roy Akerman, CEO de Rezonate, explicó lo popular que es para los hackers aprovechar PII y PHI para aprovecharlos en otros ataques o para venderlos en la Dark Web. Los profesionales cibernéticos todavía están examinando la causa subyacente de este ataque de ransomware y desarrollando una estrategia de recuperación rápida.
(Fuente: DarkReading)
A partir de 2018, altos funcionarios de la administración Biden vieron que Corea del Norte ha intensificado sus ciberataques a la par que su proyecto nuclear y de misiles. El robo cibernético, en particular los robos de criptomonedas y otros ataques, representa alrededor de la mitad de los ingresos de la nación y financia gran parte de la infraestructura de Pyongyang, la capital de Corea del Norte. Alrededor de 10.000 expertos en amenazas trabajan para Kim Jung-un, que tiene incentivos económicos para continuar con sus exitosos ciberataques.
Esta operación norcoreana no es nueva, pero se está convirtiendo en una amenaza mayor a medida que pasa el tiempo y surgen nuevas técnicas; en 2019, la Organización de las Naciones Unidas (ONU) estimó que el país había amasado más de 2.000 millones de dólares gracias a años de ataques a bancos y criptodivisas. Además, a Corea del Norte se le han atribuido los atracos más dañinos en criptodivisas. El año pasado, Corea del Norte robó 620 millones de dólares de Ronin Network, de Sky Mavis, y en 2020 se apoderó de 281 millones de dólares de KuCoin. Dado que Corea del Norte lleva años realizando este esquema, no han dejado de cambiar y sofisticarse para mantener esta financiación. Estados Unidos está colaborando actualmente con sus socios surcoreanos y otros aliados para concienciar de que esto ha estado ocurriendo y sigue ocurriendo.
(Fuente: InfoSecurity)
Lace Tempest, un hacker que amenaza con ransomware, ha explotado un fallo en las descargas del programa MOVEit Transfer. Las autoridades de ciberseguridad y seguridad de infraestructuras advirtieron a los medios de comunicación de que no utilizaran la vulnerabilidad SQL de día cero, CVE-2023-34362, ya que los hackers podrían estar permitiendo un acceso en el que podrían robar datos y suplantar la identidad de cualquiera en la base de datos. Los ciberdelincuentes conocían la vulnerabilidad del software de transferencia antes de que se desprendiera y pudiera parchearse, lo que daría más oportunidades a los atacantes no autorizados.
Bleeping Computer informó de casi 2.500 casos que la transferencia MOVEit expuso públicamente el pasado mes de mayo. El ataque fue más oportunista que dirigido a un usuario concreto, ya que la información ha estado muy solicitada.
Uno de los sistemas infectados, "human2.aspx" en la carpeta "wwwroot", pasó desapercibido durante un tiempo considerable porque el título se parecía a un archivo real en su interfaz.
Una empresa de Massachusetts colaboró en los esfuerzos de corrección proporcionando parches para las siguientes versiones expuestas: 2021.0.6 (13.0.6), 2021.1.4 (13.1.4), 2022.0.4 (14.0.4), 2022.1.5 (14.1.5) y 2023.0.1 (15.0.1).
Los administradores deben estar atentos a los archivos "human2.aspx" en la carpeta "wwwroot" del programa MOVEit, hacer que se evalúen todos los archivos de registro durante un periodo de tiempo significativo y analizar los datos de direcciones IP y fuentes no identificadas para detectar la explotación de amenazas. Se recomienda encarecidamente que los usuarios aprovechen el parche para solucionar este problema y reducir el riesgo. Además, las organizaciones deberían desactivar todas las conexiones HTTP y HTTPS si no pueden aplicar el parche.
Una vez implantada la solución, los equipos de seguridad deben realizar pruebas para comprobar si algo está en peligro. Si es así, deben restablecer la información de la cuenta que quedó expuesta. Además, cualquier archivo titulado "human2.aspx" o cualquier otro archivo alarmante debe ser analizado detenidamente y potencialmente eliminado.
(Fuente: TechRepublic)
A medida que las nuevas tecnologías de IA siguen evolucionando y aumenta su adopción por parte del público, los ciberdelincuentes ven en ello una oportunidad para atacar a los usuarios y obtener información. ChatGPT ha sido un recurso muy popular desde su lanzamiento el pasado noviembre, aprovechando el procesamiento del lenguaje natural y la tecnología de IA para ayudar a las personas a acceder a la información y aumentar la eficiencia en los negocios.
Como los ciberdelincuentes vieron una nueva plataforma para llevar a cabo diversos ciberataques, esto supone ahora un gran riesgo para la seguridad de la cadena de suministro de software. Los actores de amenazas han estado utilizando "alucinaciones de paquetes de IA" a través de ChatGPT como una forma de difundir paquetes de código malicioso y troyanos con la esperanza de colarse en aplicaciones y repositorios de código.
Una alucinación de IA es una respuesta creíble del bot de IA que no es exacta. Esto ocurre porque las plataformas de IA generativa como ChatGBT forman sus respuestas a partir de la información disponible en Internet, lo que puede llevar a los usuarios a adoptar información inexacta. Cuando esto ocurre, actores maliciosos pueden entrar en una plataforma, como ChatGBT, para recomendar paquetes maliciosos y/o no publicados. Cuando los usuarios hacen una pregunta similar, el bot genera el paquete malicioso sin saberlo, lo que supone un problema porque los usuarios confían en el chatbot. El desarrollador dispone entonces de una biblioteca maliciosa que puede utilizar en distintas aplicaciones.
Algunas prácticas comunes para que los desarrolladores detecten bibliotecas mal codificadas incluyen justificar la biblioteca que acaban de descargar, seguir el protocolo adecuado y tratar de identificar un troyano muy hábil en la biblioteca descargada. Algunas formas de hacerlo son comprobar la fecha de creación del paquete, ver la cantidad de interacción que tiene a través del número de descargas y comentarios, y ver si hay alguna nota adjunta junto con el paquete.
(Fuente: DarkReading)