Boletín 12 de Agosto

  1. Ransomware BlackSuit

  2. Distribución de RAT con túneles de Cloudflare

  3. Nueva versión del malware SYS01 que usa anuncios de Facebook para robar contraseñas

  4. Miles de cámaras y routers WiFi de Ubiquiti son vulnerables,

Ransomware BlackSuit

BlackSuit es un ransomware detectado en mayo de 2023, realizando una doble extorsión. Existen investigaciones que podrían indicar similitudes hacia el ransomware Royal que al parecer es el sucesor del ransomware Conti. El ransomware BlackSuit tiene como rasgos comunes métodos de despliegue de malware y procesos de cifrado avanzados.

BlackSuit no tiene unos vectores de ataques altamente novedosos, aunque por decir esto no significa que no se requiere prevención, suele realizar ataques al RDP con “posibilidad de uso de contraseñas robadas”, el uso de vulnerabilidades de VPN y firewall, archivos con macros en correos electrónicos, archivos en torrents o en anuncios maliciosos.

Link: https://www.deepinstinct.com/blog/deep-dive-exposing-stealthy-new-blacksuit-ransomware

Distribución de RAT con túneles de Cloudflare

Proofpoint está rastreando campañas de actores de amenazas utilizando los túneles de Cloudflare para distribuir malware. Dicha utiliza la función TryCloudflare que permite a un atacante crear un túnel de un solo uso sin crear una cuenta

Estos túneles permiten acceder de forma remota a datos y recursos locales, desde fuera de la red.

Nueva versión del malware SYS01 que usa anuncios de Facebook para robar contraseñas

Ciberdelincuentes están aprovechando el gran alcance de la conocida red social de Meta para infectar equipos con el malware SYS01, un software malicioso que puede robar las claves almacenadas en un navegador web.

Miles de cámaras y routers WiFi de Ubiquiti son vulnerables

La vulnerabilidad reside en los dos procesos privilegiados personalizados que estaban expuestos en la interfaz de red de los dispositivos. Los puertos abiertos 10001 y 7004 utilizaban el protocolo UDP (Protocolo de Datagramas de Usuario, uno de los principales protocolos de comunicación). Algunos dispositivos comprometidos ya muestran advertencias como “HACKED-ROUTER-HELP-SOS-DEFAULT-PASSWORD”.

“Más de 20.000 dispositivos Ubiquiti fueron identificados como expuestos en Internet, revelando datos informativos incluyendo sus nombres de plataforma, versión de software, direcciones IP configuradas y más”, se lee en el informe. “Los datos expuestos podrían utilizarse para ataques técnicos y de ingeniería social”.

Esta vulnerabilidad no es nueva. En 2019, se llevaron a cabo ataques de denegación de servicio (DoS) en dispositivos Ubiquiti explotando un servicio en 10001/UDP, y la evaluación de Rapid7 reveló casi 500,000 dispositivos vulnerables a la vez. Desde entonces, se han publicado los parches.

SOC 24/7

Nuestro servicio de ciberSOC desarrolla una monitorización de seguridad sobre su infraestructura, detectando de manera temprana cualquier incidente de seguridad.

Auditoría de Seguridad

Nuestro equipo de RedTeam hace una evaluación de la seguridad de su organización, simulando un ciberataque externo, poniendo así­ a prueba a toda la organización.