Boletín 2 de Septiembre

  1. Informe sobre el crecimiento del Ransomware

  2. Volt Typhoon (China) explota un 0-day en los servidores SD-WAN de Versa Networks

  3. Análisis de la botnet 7777 que se utilizaba para ejecutar ataques de fuerza bruta.

  4. La empresa de seguridad ADT anuncia una brecha de seguridad en los datos de sus clientes

Informe sobre el crecimiento del Ransomware

Las víctimas de ransomware han pagado (al menos las que lo han reportado) 459.800.000 dólares a ciberdelincuentes en el primer semestre de 2024, preparando el terreno para un nuevo récord este año si los pagos de rescate continúan a este nivel.

El año pasado, los pagos de ransomware alcanzaron un récord de 1.100 millones de dóares, ahora estamos aproximadamente un 2% por encima de la trayectoria récord de 2023 del mismo perí­odo a pesar de importantes operaciones policiales que interrumpieron grandes operaciones de ransomware como servicio, como LockBit.

Volt Typhoon (China) explota un 0-day en los servidores SD-WAN de Versa Networks

El famoso grupo chino Volt Typhoon ha estado explotando activamente un fallo de ZeroDay en los servidores SDWAN de Director, de la empresa Versa Networks, para interceptar y recopilar credenciales que se utilizarán en futuros ataques.

El fallo, ahora parcheado y identificado como CVE-2024-39717, afecta a todas las versiones de Versa Director anteriores a la 22.1.4, y tiene que ver con una función que permite a los usuarios personalizar el aspecto de su interfaz gráfica de usuario (GUI).

Una vez que los atacantes obtienen el acceso inicial, escalan privilegios para obtener credenciales de administrador del más alto nivel”, afirma Maier, quien añade que Versa siempre ha dado instrucciones a sus clientes para que limiten el acceso a los puertos 4566 y 4570.

Análisis de la botnet 7777 que se utilizaba para ejecutar ataques de fuerza bruta.

Quad7, también conocida como botnet 7777, está diseñada para comprometer routers domésticos, cámaras IP y otros dispositivos IoT y se caracteriza por su enfoque en ataques de fuerza bruta y por el uso de proxies para encubrir sus actividades. Además, proporciona puertas traseras a los atacantes para realizar actividades maliciosas, tanto distribuidas como aisladas en los dispositivos infectados.

Dispositivos TP-LINK, ASUS, ZYXEL y RUCKUS

Existen algunas especulaciones sobre el propósito de esta botnet y si su actividad está relacionada con los intereses de un estado en particular. Por el momento, la única certeza que existe es que la botnet está siendo utilizada para atacar cuentas corporativas de interés mediante ataques de fuerza bruta a los servicios de Microsoft 365, siempre con un volumen muy bajo, con el fin de mantener un perfil bajo y evitar ser detectados.

Principales dispositivos comprometidos

La empresa de seguridad ADT anuncia una brecha de seguridad en los datos de sus clientes

El proveedor de equipos de vigilancia electrónica ADT notificó un incidente de ciberseguridad durante el cual actores no autorizados accedieron ilegalmente a ciertas bases de datos que contenían información de pedidos de clientes de ADT.

SOC 24/7

Nuestro servicio de ciberSOC desarrolla una monitorización de seguridad sobre su infraestructura, detectando de manera temprana cualquier incidente de seguridad.

Auditoría de Seguridad

Nuestro equipo de RedTeam hace una evaluación de la seguridad, simulando un ciberataque externo, poniendo así­ a prueba a toda la organización.