🛡 GuardianDigital - 05 junio
Ataque con Cobalt Strike en Ucrania; RansomHub;FBI advierte sobre anuncios falsos de trabaj; Vulnerabilidad en: Tiktok, Progress Telerik & Procesadores Samsung; Raspberry Pi 5 con IA;Jailbreaks de IA.
🦠Amenazas
Ataque con Cobalt Strike en Ucrania mediante archivos Excel maliciosos
Ucrania enfrenta un nuevo ataque cibernético en el que hackers utilizan archivos Excel maliciosos para desplegar Cobalt Strike, una herramienta conocida para actividades de post-explotación. El ataque, descubierto por Fortinet's FortiGuard Labs, involucra un archivo Excel que contiene una macro VBA que descarga y ejecuta una DLL codificada en HEX. Esta DLL instala Cobalt Strike y evade la detección en entornos sandbox usando algoritmos de cifrado AES. Los atacantes también implementaron un control de geolocalización para asegurarse de que el payload solo se descargue en sistemas ubicados en Ucrania. (Hackread)
El FBI advierte sobre anuncios falsos de trabajos remotos utilizados para estafas de criptomonedas
El FBI ha emitido una advertencia sobre estafadores que publican anuncios falsos de trabajos remotos para robar criptomonedas a los solicitantes de empleo en Estados Unidos. Estos anuncios prometen tareas simples pero confusas y exigen pagos en criptomonedas para desbloquear más trabajos o ganar más dinero, con los pagos yendo directamente a los estafadores. Se aconseja a los solicitantes ser cautelosos con ofertas no solicitadas y evitar enviar dinero a empleadores potenciales. (Bleeping Computer)
RansomHub reclama responsabilidad por el ciberataque a Frontier Communications
El grupo de ransomware RansomHub ha asumido la responsabilidad del ciberataque de abril de 2024 contra Frontier Communications. El ataque resultó en el robo de datos personales de más de dos millones de clientes. Frontier ha confirmado que la información robada incluye nombres, direcciones, fechas de nacimiento, números de teléfono, correos electrónicos, números de Seguro Social y puntajes de crédito. RansomHub amenaza con vender o publicar los datos si no se cumplen sus demandas. (Security Week)
🚨Vulnerabilidades
TikTok soluciona una vulnerabilidad de día cero utilizada para secuestrar cuentas de alto perfil
TikTok ha corregido una vulnerabilidad de día cero en su función de mensajes directos que permitía a los atacantes secuestrar cuentas de empresas y celebridades, como las de Sony, CNN y Paris Hilton. Este exploit solo requería que las víctimas abrieran un mensaje malicioso. TikTok ha trabajado directamente con los dueños de las cuentas afectadas para restaurar el acceso y está implementando medidas adicionales para prevenir futuros ataques. (Bleeping Computer)
CISA emite cuatro avisos sobre sistemas de control industrial
La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) ha publicado cuatro nuevos avisos de seguridad relacionados con sistemas de control industrial (ICS). Los avisos cubren vulnerabilidades en productos de Uniview, Mitsubishi Electric y Fuji Electric. Los administradores y usuarios de estos sistemas son alentados a revisar los avisos para obtener detalles técnicos y mitigaciones necesarias para proteger sus entornos. (CISA)
Cadena de vulnerabilidades en Progress Telerik Report Server permite ejecución remota de código
Se han descubierto dos vulnerabilidades en Progress Telerik Report Server que, al combinarse, permiten a los atacantes ejecutar código de manera remota. La primera, una vulnerabilidad de deserialización insegura (CVE-2024-1800), permite a un atacante ejecutar código como usuario SYSTEM debido a la validación inadecuada de la entrada del usuario. La segunda, una vulnerabilidad de omisión de autenticación (CVE-2024-4358), explota un endpoint sin autenticación utilizado durante el proceso de configuración del servidor, permitiendo a los atacantes crear usuarios con privilegios de administrador. La combinación de estas vulnerabilidades facilita la creación de informes maliciosos que pueden ejecutar código arbitrario en el servidor afectado. Se recomienda actualizar a la última versión del Progress Telerik Report Server para mitigar estos problemas. (Tenable)
Vulnerabilidad en plugin de WordPress permite omisión de autenticación
El plugin Social Login Lite For WooCommerce para WordPress presenta una vulnerabilidad de omisión de autenticación (CVE-2024-4552) en versiones hasta la 1.6.0. Esta falla se debe a una verificación insuficiente del usuario durante el proceso de login social, permitiendo a atacantes no autenticados iniciar sesión como cualquier usuario existente en el sitio, incluyendo administradores, si tienen acceso al correo electrónico asociado. Se recomienda a los administradores de sitios que utilizan este plugin actualizar a la versión más reciente y revisar las configuraciones de seguridad. (Security Database)
Vulnerabilidad en procesadores Samsung Exynos permite divulgación de información sensible
Se ha identificado una vulnerabilidad en los procesadores Samsung Exynos utilizados en dispositivos móviles, wearables y automóviles (CVE-2024-29152). La falla radica en que el software de la banda base no verifica adecuadamente los estados especificados por el mensaje de Reconfiguración RRC (Radio Resource Control), lo que puede llevar a la divulgación de información sensible. Los modelos afectados incluyen Exynos 980, 990, 850, 1080, 2100, 2200, 1280, 1380, 1330, 2400, 9110, W920, W930, Modem 5123 y Modem 5300. Se recomienda a los usuarios de estos dispositivos estar atentos a las actualizaciones de seguridad proporcionadas por Samsung para corregir esta vulnerabilidad. (Security Database)
💡Tendencias de Seguridad
NeuShield reconocido como disruptor del mercado de ciberseguridad en los premios Globee 2024
NeuShield ha sido nombrado disruptor del mercado de ciberseguridad en los premios Globee 2024. La compañía es reconocida por su tecnología Mirror Shielding™, que ofrece protección contra ransomware y permite la recuperación rápida de datos. Esta tecnología revoluciona la industria al permitir a los clientes revertir sus archivos y dispositivos al estado anterior al ataque sin depender de la detección de amenazas específicas. (Globe Newswire)
🤖Inteligencia Artificial
Raspberry Pi 5 obtiene una importante actualización de IA con el nuevo kit de Hailo
El Raspberry Pi 5, famoso por ser una computadora del tamaño de una tarjeta de crédito, ha recibido una actualización significativa en inteligencia artificial (IA) gracias a una colaboración con el fabricante de chips israelí Hailo. Esta alianza permitirá que los usuarios integren IA en sus proyectos de manera más eficiente y económica. El nuevo kit AI incluye un módulo acelerador Hailo-8L que ofrece 13 tera-operaciones por segundo (TOPS), superando a los procesadores actuales. Esto permite realizar tareas de IA más complejas sin depender de la nube, como reconocimiento de objetos y análisis de posturas humanas. (Tech Times)
Microsoft detalla los jailbreaks de IA y cómo mitigarlos
Microsoft ha publicado un blog explicando qué son los jailbreaks de IA, cómo ocurren y cómo pueden mitigarse. Los jailbreaks permiten a los atacantes evadir las protecciones de seguridad de los modelos de IA, causando comportamientos no deseados o dañinos. Microsoft recomienda un enfoque de defensa en profundidad, incluyendo filtros de contenido y gestión de identidades, para proteger los sistemas de IA. Además, ha lanzado una herramienta de código abierto, PyRIT, para identificar riesgos en sistemas de IA generativa. (Microsoft Security Blog)