Skyhigh Security Resumen de inteligencia

El año pasado ha sido un juego constante de whack-a-mole con vulnerabilidades VPN, dejando a las organizaciones que utilizan sistemas anticuados de acceso remoto muy abiertas a posibles ciberataques.

Los recientes informes de que tanto Microsoft como Hewlett Packard Enterprise (HPE) han sido vulneradas a través de sus infraestructuras de correo electrónico basadas en la nube han tomado al sector de la ciberseguridad por asalto; francamente, ¡por más de una razón!

¿Recuerda la ciberamenaza QakBot (también conocida como Qbot o Pinkslipbot)? Esta amenaza fue desactivada como parte de un esfuerzo coordinado de las fuerzas de seguridad en agosto de 2023, ¡y está volviendo a aparecer!

La reciente intrusión cibernética dirigida contra MGM Resorts International ha puesto de relieve los problemas acuciantes que rodean a la salvaguarda de los datos sensibles y las vulnerabilidades expuestas a las que se enfrentan las organizaciones modernas en el panorama actual de las amenazas.

HCA Healthcare, un destacado proveedor de servicios sanitarios con amplia presencia en Florida y otros 19 estados, fue víctima recientemente de una grave filtración de datos que podría afectar hasta a 11 millones de personas. El inquietante incidente salió a la luz cuando información personal de pacientes salió a la luz en un foro en línea.

Un reciente aviso publicado conjuntamente por la Oficina Federal de Investigación (FBI), la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) y el Centro Australiano de Ciberseguridad (ACSC) detalla las crecientes amenazas que plantea el grupo de ransomware y extorsión BianLian. Con el grupo cibercriminal activo desde junio de 2022, parece que la encriptación más convencional de los archivos de las víctimas para el pago del ransomware se ha desplazado ahora a la exfiltración de los datos comprometidos con fines de chantaje y extorsión.

Según investigaciones recientes de la industria, se han observado múltiples campañas y herramientas ejecutadas por el grupo MERCURY APT (también conocido como MuddyWater, Static Kitten) -ampliamente considerado como afiliado a los intereses del Ministerio de Inteligencia y Seguridad iraní (MOIS)- lanzando ataques dañinos en entornos en la nube de Microsoft Azure.

Lo que comenzó como un medio para generar risas a través de videoclips cortos durante la pandemia del coronavirus, TikTok ha tomado el formato de vídeo corto que capta la atención y ha consolidado su lugar entre las aplicaciones de medios sociales más populares. Pero al igual que otras aplicaciones de propiedad extranjera que se vuelven virales, TikTok, de propiedad china, sigue enfrentándose al escrutinio sobre sus prácticas de recopilación de datos y privacidad. Esta vez, sin embargo, no son sólo los Estados Unidos los que hacen sonar la alarma.

A medida que las organizaciones continúan su desenfrenado ascenso hacia la nube, OneNote presenta un puente útil para la toma de notas y la gestión de tareas entre las instalaciones corporativas, BYOD y los reinos de la nube empresarial, sin embargo, los atacantes han dirigido su atención a la aplicación como una ruta viable para la distribución de malware.

El último inicio de los ataques de phishing está en el horizonte. Con la omnipresencia de las aplicaciones en la nube y la naturaleza evolutiva de su uso, desde las integraciones de token de inicio de sesión único, se pide a los usuarios que autoricen el acceso en lo que se ha convertido en un vector de ataque pasado por alto para facilitar la fuga de datos.

El correo electrónico ha sido el alma de la comunicación y la colaboración empresarial durante décadas; de eso no hay duda. Sin embargo, el correo electrónico también sigue siendo una de las formas más eficaces de distribuir malware o ransomware, responsable de más del 90% de los envíos e infecciones de malware.

Poco después de numerosas infracciones de gran repercusión a manos de bandas de ciberdelincuentes, no cabe duda de que a Cisco no le complace confirmar una infracción de su red corporativa en un reciente ataque de extorsión del grupo de ransomware Yanluowang.

Un error común entre las empresas y sus usuarios lleva a creer que los entornos en la nube son inmunes a las amenazas de ransomware. Sin embargo, en un descubrimiento reciente realizado por los investigadores de Proofpoint, los actores maliciosos pueden instigar ataques de ransomware aprovechando las copias de seguridad de versiones de archivos de Microsoft 365, disponibles gracias a la función nativa de "autoguardado" de archivos de la plataforma.

Un servidor no seguro ha expuesto datos sensibles pertenecientes a empleados de aeropuertos de Colombia y Perú. Los buckets de AWS S3 que contenían aproximadamente 3 TB de datos que se remontaban a 2018 consistían en registros de empleados de aeropuertos, fotos de tarjetas de identificación e información de identificación personal (PII), incluidos nombres, fotos, ocupaciones y números de identificación nacional.

El nuevo nombre de moda en los ataques de ransomware es Lapsus$. Si no ha oído hablar de ellos antes, probablemente haya oído hablar de algunas de las empresas a las que han atacado, como Nvidia, Samsung, Okta y Microsoft, por nombrar sólo algunas. Para los no informados, Lapsus$ es un grupo de piratas informáticos que se centra en el robo de datos y la extorsión.

Según un informe de Bleeping Computer, los actores de amenazas están intensificando sus esfuerzos contra Microsoft Teams para la distribución de malware mediante la plantación de documentos maliciosos en los hilos de chat, lo que en última instancia provoca que las víctimas ejecuten troyanos que secuestran sus sistemas corporativos.