Empresa logística alimentaria británica Peter Green Chilled sufre un ataque de ransomware

Peter Green Chilled, una empresa de logística alimentaria con sede en Somerset que suministra a supermercados británicos como Tesco, Asda, Sainsbury’s y M&S, ha sido víctima de un ataque de ransomware. El incidente, revelado en un correo interno visto por la BBC, ocurrió la semana pasada. Aunque las operaciones de transporte no se vieron afectadas, el procesamiento de pedidos fue suspendido. Se desconoce si se solicitó o pagó un rescate.

El papel de la empresa en la distribución de alimentos refrigerados con vida útil corta plantea preocupaciones sobre una grave interrupción operativa, similar a las tácticas vistas en ataques al sector sanitario y manufacturero, donde se explota la urgencia más que el robo de datos.

Empresas de la cadena de suministro como Peter Green son cada vez más objetivo debido a su dependencia de las entregas justo a tiempo. El ataque se suma a recientes incidentes en Co-op, Harrods y M&S, siendo esta última la que estima pérdidas de £300 millones debido a interrupciones online continuas.

El comercio minorista sigue siendo un sector de alto riesgo, con el 45% de las empresas afectadas por ransomware el año pasado.

Violación de datos en la agencia de asistencia legal del Reino Unido es peor de lo que se temía: se robaron datos sensibles de solicitantes

La Agencia de Asistencia Legal del Reino Unido (LAA, por sus siglas en inglés) ha confirmado que un reciente ciberataque, reportado a principios de este mes, fue más grave de lo que se creía inicialmente. Los piratas informáticos robaron grandes volúmenes de datos sensibles de solicitantes de asistencia legal desde el año 2010. La agencia, que forma parte del Ministerio de Justicia, ayuda a personas que no pueden pagar representación legal.

Un aviso inicial publicado a principios de mayo minimizaba la gravedad de la violación, señalando una exposición financiera limitada. Sin embargo, una actualización del gobierno el 16 de mayo reveló que los atacantes accedieron y descargaron datos como información de contacto, fechas de nacimiento, números de seguro nacional, antecedentes penales e información relacionada con deudas.

La LAA ha desconectado sus servicios digitales y está trabajando con el Centro Nacional de Ciberseguridad del Reino Unido para asegurar sus sistemas. Se insta a los solicitantes a mantenerse alerta ante posibles estafas.

Esta violación se suma a una ola de ciberataques a instituciones británicas, incluidos minoristas como M&S y Co-op, generando preguntas sobre posibles vínculos con el grupo Scattered Spider.

Anuncios falsos en Facebook se hacen pasar por Kling AI para propagar malware

Expertos en ciberseguridad han descubierto una campaña que utiliza páginas falsas en Facebook y anuncios patrocinados para hacerse pasar por Kling AI, atrayendo a los usuarios para que descarguen malware. Kling AI, lanzado por la empresa china Kuaishou Technology en 2024, es una plataforma de texto a vídeo/imagen con más de 22 millones de usuarios.

Según Check Point, los atacantes redirigen a los usuarios a sitios web falsos como klingaimedia[.]com, que ofrecen contenido generado por IA. En realidad, los visitantes descargan sin saberlo malware disfrazado de imágenes o vídeos. El malware, oculto en archivos ZIP con nombres engañosos, instala un troyano de acceso remoto (RAT) y un ladrón de datos que apunta a credenciales del navegador y carteras de criptomonedas.

La carga útil de segunda etapa utiliza PureHVNC para establecer persistencia, evadir la detección y robar datos sensibles. Se detectaron al menos 70 anuncios falsos, probablemente originados en Vietnam, donde el malvertising es una táctica común.

Esto pone de relieve el creciente peligro de la ingeniería social y las estafas basadas en IA. Meta está luchando contra un aumento generalizado del fraude en Facebook e Instagram, incluidas falsas promociones y estafas laborales vinculadas a la trata de personas.

Hazy Hawk secuestra subdominios confiables para difundir estafas

Un actor de amenazas conocido como 'Hazy Hawk' está explotando registros DNS CNAME olvidados que apuntan a servicios en la nube abandonados para secuestrar subdominios confiables de gobiernos, universidades y empresas del Fortune 500, según investigadores.

Al registrar nuevos recursos en la nube con los mismos nombres que aparecen en los registros CNAME abandonados, Hazy Hawk toma el control de los subdominios para alojar estafas, aplicaciones falsas y anuncios maliciosos. Entre los dominios de alto perfil comprometidos están cdc.gov, honeywell.com, berkeley.edu, unicef.org y nyu.edu, entre otros.

Estos subdominios secuestrados se utilizan para generar cientos de URLs fraudulentas, aprovechando la reputación del dominio principal para posicionarse bien en los resultados de búsqueda. Las víctimas son redirigidas a través de múltiples capas de sistemas de dirección de tráfico (TDS), que las perfilan antes de llevarlas a estafas de soporte técnico, páginas de phishing o sitios de streaming falsos.

Los usuarios que permiten notificaciones push pueden seguir recibiendo alertas de estafa mucho después de haber salido de los sitios. Los expertos advierten que los registros CNAME no supervisados representan un vector de ataque descuidado pero peligroso.

Instalador manipulado de KeePass distribuye Cobalt Strike y ransomware

Actores maliciosos han pasado al menos ocho meses distribuyendo una versión maliciosa del gestor de contraseñas KeePass para infectar sistemas con beacons de Cobalt Strike y robar credenciales de usuario. Según los investigadores, la campaña comenzó con sitios web falsos de KeePass promocionados mediante anuncios en Bing, donde los usuarios descargaban sin saberlo un instalador troyanizado llamado KeeLoader.

Aunque funciona como el KeePass legítimo, KeeLoader exporta silenciosamente la base de datos de contraseñas del usuario en texto plano y despliega un beacon de Cobalt Strike. La marca de agua del beacon vincula la campaña con brokers de acceso inicial relacionados con el grupo de ransomware Black Basta.

Los actores de amenazas también usaron dominios con errores ortográficos como keeppaswrd[.]com y keegass[.]com para distribuir el malware. Algunos instaladores falsos incluso estaban firmados con certificados legítimos.

La campaña culminó en ataques de ransomware dirigidos a servidores VMware ESXi. WithSecure atribuye esta actividad al actor UNC4696, anteriormente vinculado a Nitrogen Loader y las campañas BlackCat/ALPHV.

Se aconseja a los usuarios evitar descargar software a través de anuncios y utilizar únicamente fuentes oficiales.

If you are worried about any of the threats outlined in this bulletin or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager, or alternatively Get in touch to find out how you can protect your organisation. 

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.