Content
01. News Bites
- TfL sufre un ciberataque, se recomienda vigilancia mientras se desarrolla la investigación
- Cisco parchea una vulnerabilidad crítica de inyección de comandos que permite escalar privilegios de root
- El grupo de ransomware RansomHub ataca a 210 víctimas
- Estados Unidos desbarata una importante campaña de influencia rusa dirigida a las elecciones de 2024 con dominios falsos y contenidos generados por IA
- Tres hombres se declaran culpables de dirigir OTP.Agency y estafar millones a clientes de bancos británicos
02. Conclusion
TfL sufre un ciberataque, se recomienda vigilancia mientras se desarrolla la investigación
Transport for London (TfL) se enfrenta actualmente a un ciberataque y ha pedido ayuda a la National Crime Agency (NCA) y al National Cyber Security Centre (NCSC). A pesar del incidente en curso, TfL aseguró al público que ningún dato de los clientes se ha visto comprometido, y los servicios no se han visto afectados. Sin embargo, los sistemas administrativos se han visto afectados y se ha pedido al personal que trabaje desde casa.
Recomendamos a los clientes que se mantengan alerta durante incidentes como este y aconsejamos a los viajeros que controlen sus cuentas para detectar cualquier actividad inusual, al tiempo que se aseguran de que las contraseñas y los datos de acceso son seguros. Nuestro equipo insiste en la importancia de activar la autenticación de dos factores en las cuentas vinculadas a TfL, como las tarjetas Oyster o los servicios en línea.
Aunque el alcance total de la brecha no está claro, TfL está trabajando con las autoridades para contener el ataque. Los ciudadanos deben extremar la precaución en caso de que la situación empeore.
Cisco parchea una vulnerabilidad crítica de inyección de comandos que permite escalar privilegios de root
Cisco ha solucionado una vulnerabilidad de inyección de comandos, rastreada como CVE-2024-20469, que permite a los atacantes escalar privilegios a root en sistemas vulnerables. El fallo, detectado en la solución Identity Services Engine (ISE) de Cisco, se debe a una validación insuficiente de la información proporcionada por el usuario. Esto permite a los atacantes locales ejecutar comandos maliciosos a través de ataques de baja complejidad que no requieren la interacción del usuario.
Sin embargo, la explotación con éxito sólo es posible si los atacantes ya poseen privilegios de administrador en sistemas no parcheados. En un aviso de seguridad, Cisco advirtió de que el código de prueba de concepto para explotar esta vulnerabilidad está disponible públicamente, aunque no se ha detectado ninguna explotación activa.
Cisco también eliminó una cuenta de puerta trasera en su software Windows Smart Licensing Utility, que podía conceder a los atacantes acceso administrativo a sistemas sin parches. Además, en abril parcheó otras vulnerabilidades críticas, entre ellas una en su Integrated Management Controller (IMC) y otra que afectaba a los dispositivos Security Email Gateway (SEG), para evitar la escalada de privilegios y las caídas del sistema.
El grupo de ransomware RansomHub ataca a 210 víctimas
Los actores de amenazas vinculados al grupo de ransomware RansomHub han cifrado y robado datos de más de 210 víctimas desde febrero de 2024, según el gobierno de Estados Unidos. RansomHub se ha dirigido a sectores como la sanidad, los servicios gubernamentales y las infraestructuras críticas, incluidos el agua, las TI y los servicios de emergencia.
RansomHub, descendiente de las variantes Cyclops y Knight, opera como una plataforma de ransomware como servicio (RaaS), atrayendo a afiliados de grandes grupos como LockBit y ALPHV. Utiliza un doble modelo de extorsión, exfiltrando y cifrando los datos antes de pedir el rescate a través de una URL .onion.
Una vez dentro, los afiliados a RansomHub utilizan herramientas como Mimikatz para escalar privilegios y moverse por las redes. Los expertos recomiendan vigilar la actividad inusual de inicio de sesión y utilizar soluciones de detección y respuesta de puntos finales (EDR) para identificar actividades sospechosas en una fase temprana.
A medida que evolucionan las tácticas del ransomware, la adopción de estrategias sólidas de copia de seguridad y de copias de seguridad offline sigue siendo fundamental para la recuperación en caso de ataque.
Aconsejamos a las organizaciones que den prioridad a parchear vulnerabilidades en software clave como Apache ActiveMQ, Atlassian Confluence y Citrix ADC para limitar la exposición. Implementar la segmentación de la red y la autenticación multifactor (MFA) es crucial para evitar el movimiento lateral de los atacantes.
Estados Unidos desbarata una importante campaña de influencia rusa dirigida a las elecciones de 2024 con dominios falsos y contenidos generados por IA
El Gobierno de Estados Unidos anunció la desarticulación de una importante campaña de influencia rusa, cuyo nombre en clave era «Doppelganger», que utilizaba dominios ciberocupados, contenidos generados por IA, personas influyentes y plataformas de redes sociales para difundir desinformación. La campaña, cuyo objetivo era inmiscuirse en las elecciones presidenciales estadounidenses de 2024, también buscaba reducir el apoyo internacional a Ucrania y promover políticas prorrusas.
El Departamento de Justicia incautó 32 dominios creados para imitar sitios web de noticias legítimos como The Washington Post, difundiendo historias falsas para engañar a los visitantes. Se emplearon contenidos generados por inteligencia artificial y perfiles de periodistas falsos para difundir propaganda rusa, especialmente a través de las redes sociales.
Dos ciudadanos rusos, Kostiantyn Kalashnikov y Elena Afanasyeva, vinculados al medio de comunicación controlado por el Estado RT, han sido acusados por su participación. RT pagó a una empresa con sede en Tennessee para difundir contenidos divisivos en plataformas sociales. El Departamento del Tesoro también impuso sanciones a 10 personas implicadas en la operación, mientras que el Departamento de Estado ofreció recompensas por información sobre grupos asociados como RaHDit.
Tres hombres se declaran culpables de dirigir OTP.Agency y estafar millones a clientes de bancos británicos
Tres hombres se han declarado culpables de gestionar OTP.Agency, una plataforma que ayudaba a los delincuentes a robar contraseñas de un solo uso (OTP) a clientes de bancos británicos. Las OTP son contraseñas temporales que se utilizan en la autenticación multifactor para proteger las cuentas. Los delincuentes suscritos al servicio utilizaban estos códigos para acceder a las cuentas bancarias de las víctimas.
El trío, Callum Picari (22), Vijayasidhurshan Vijayanathan (21) y Aza Siddeeque (19), se dirigió a más de 12.500 personas entre septiembre de 2019 y marzo de 2021, cuando la Agencia Nacional contra el Crimen (NCA) cerró el sitio. Picari era el propietario y desarrollador de la plataforma, mientras que Siddeeque la promocionaba y proporcionaba soporte técnico.
OTP.Agency ofrecía suscripciones que oscilaban entre 30 y 380 libras, dando acceso a OTPs de más de 30 servicios, incluidos bancos como HSBC y Lloyds. Las autoridades creen que el grupo podría haber ganado hasta 7,9 millones de libras. El trío se enfrenta ahora a cargos de conspiración para cometer fraude, suministro de herramientas fraudulentas y blanqueo de capitales, y la sentencia está prevista para el 2 de noviembre.
Si te preocupa alguna de las amenazas mencionadas en este boletín o necesitas ayuda para determinar qué pasos tomar para protegerte de las amenazas más importantes que enfrenta tu organización, por favor contacta a tu gerente de cuenta, o, alternativamente, ponte en contacto para descubrir cómo puedes proteger tu organización.
Disclaimer
The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.