Botnet Global Expuesta: NCSC y Aliados Instan a Tomar Acción contra Amenazas Cibernéticas Vinculadas a China

El Centro Nacional de Ciberseguridad del Reino Unido (NCSC), junto con aliados internacionales como el FBI y la NSA, ha emitido una advertencia instando a individuos y organizaciones a tomar medidas de protección inmediatas tras la exposición de una botnet global operada por una empresa vinculada a China.

El aviso, lanzado en colaboración con Estados Unidos, Australia, Canadá y Nueva Zelanda, revela que una empresa con sede en China es responsable de gestionar una botnet de más de 260,000 dispositivos comprometidos a nivel mundial. Estos dispositivos comprometidos incluyen routers, firewalls y dispositivos de Internet de las Cosas (IoT) como cámaras web y cámaras de CCTV, que se han utilizado para fines maliciosos, incluyendo la distribución de malware y ataques de denegación de servicio distribuido (DDoS).

El aviso identifica a Group como la entidad detrás de la botnet, que opera desde mediados de 2021, y explotada por el actor de amenazas conocido como Flax Typhoon.

Se han detectado dispositivos comprometidos en América del Norte y del Sur, Europa, África, el sudeste asiático y Australia.

Europol y Global Taskforce Desmantelan la Plataforma Cifrada 'Ghost' Usada por el Crimen Organizado

Europol, junto con las fuerzas del orden de nueve países, desmantelaron con éxito una plataforma de comunicación cifrada llamada "Ghost", que era utilizada por el crimen organizado para el tráfico de drogas y el lavado de dinero.

Ghost ofrecía características avanzadas de seguridad, incluyendo suscripciones basadas en criptomonedas, cifrado de triple capa y mensajes autodestructivos que eliminaban pruebas de los dispositivos. Tenía una base de usuarios global que intercambiaba alrededor de 1,000 mensajes diarios, con revendedores que promocionaban la plataforma. Las suscripciones costaban $2,350 por seis meses, incluyendo un smartphone modificado y soporte técnico.

La investigación, liderada por la Fuerza Operativa Operacional (OTF) de Europol, comenzó en marzo de 2022 e involucró a agentes de Estados Unidos, Canadá, Australia y varios países europeos. Las autoridades rastrearon los servidores de Ghost en Francia e Islandia y vincularon a sus operadores con Australia y activos en Estados Unidos.
La operación llevó a 51 arrestos a nivel mundial, con grandes redadas en Australia, Irlanda, Canadá e Italia. Las autoridades también desmantelaron un laboratorio de drogas y confiscaron armas, drogas y más de €1 millón.

Cencora Paga un Récord de $75 Millones en el Mayor Ataque de Extorsión Cibernética

Cencora Inc., anteriormente conocida como AmerisourceBergen, fue víctima de un importante ciberataque, pagando un rescate récord de $75 millones, el mayor pago conocido de extorsión cibernética hasta la fecha. El rescate, inicialmente establecido en $150 millones, fue pagado en Bitcoin en tres plazos antes de marzo, tras el descubrimiento de la brecha en febrero. Se robaron datos sensibles, pero Cencora ha proporcionado pocos detalles más allá de los informes regulatorios.

En su informe de julio, la compañía reveló $31.4 millones en "otros" gastos para los nueve meses que terminaron el 30 de junio, principalmente relacionados con el incidente cibernético, cubriendo los esfuerzos de investigación y mitigación. A pesar del pago sustancial, Cencora reconoció que los datos robados aún podrían ser divulgados.

Este ataque destaca una tendencia creciente de ciberdelincuentes que apuntan a sectores de alto valor como la atención médica, con el pago de Cencora superando el récord anterior de $40 millones pagado por CNA Financial en 2021. Los expertos advierten sobre hacer pagos, ya que tales desembolsos incentivan más ataques.

SolarWinds Emite una Solución Crítica para una Vulnerabilidad en Web Help Desk que Permite Acceso no Autorizado

SolarWinds ha lanzado una solución para abordar una vulnerabilidad crítica (CVE-2024-28987) en su software Web Help Desk (WHD), que permitía a los atacantes acceder a los sistemas utilizando credenciales predefinidas. Web Help Desk es ampliamente utilizado por agencias gubernamentales, corporaciones e instituciones de atención médica y educativas para gestionar tareas de asistencia técnica de TI. La vulnerabilidad permitía a los atacantes no autenticados modificar datos y acceder a la funcionalidad interna.

SolarWinds aún no ha emitido un aviso público sobre la vulnerabilidad y no ha confirmado si fue explotada activamente. La solución, lanzada esta semana, debe instalarse después de actualizar a Web Help Desk versión 12.8.3.1813 o 12.8.3 HF1. Se recomienda a los administradores crear copias de seguridad antes de aplicar la solución.

La misma actualización también corrige una vulnerabilidad crítica de ejecución remota de código (CVE-2024-28986), que fue explotada en ataques a principios de este año y está incluida en el catálogo de Vulnerabilidades Explotadas Conocidas (KEV) de CISA.

Si te preocupa alguna de las amenazas mencionadas en este boletín o necesitas ayuda para determinar qué pasos tomar para protegerte de las amenazas más importantes que enfrenta tu organización, por favor contacta a tu gerente de cuenta, o, alternativamente, ponte en contacto para descubrir cómo puedes proteger tu organización.

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.