Las ciberamenazas siguen dando de qué hablar, y la última semana de septiembre de 2024 estuvo lleno de incidentes importantes que no podemos pasar por alto. Desde ataques de ransomware hasta vulnerabilidades críticas en software que usamos todos los días, el panorama de la ciberseguridad no deja de evolucionar. Estar al tanto de lo que está pasando no es solo una buena idea, es clave para mantener nuestros datos y sistemas a salvo. En este resumen, te contamos las noticias más destacadas del mes y por qué deberías prestarles atención.
El grupo de ciberdelincuentes "Marko Polo" ha lanzado una operación masiva de malware que está afectando a miles de personas y dispositivos en todo el mundo. Este grupo ha llevado a cabo más de 30 campañas distintas utilizando todo tipo de tácticas, como anuncios maliciosos, phishing personalizado y la suplantación de marcas populares, especialmente en sectores como los videojuegos, las criptomonedas y el software.
Lo preocupante es que han logrado difundir unas 50 variantes diferentes de malware, incluyendo algunas bastante peligrosas como AMOS, StealC y Rhadamanthys. Las principales víctimas de este grupo suelen ser personas influyentes en el mundo de las criptomonedas y desarrolladores de software, a quienes engañan con ofertas falsas de trabajo o colaboraciones.
"Marko Polo" no se detiene ahí: se hacen pasar por marcas reconocidas como Fortnite y Zoom, e incluso crean marcas ficticias para que las víctimas caigan en la trampa y descarguen su malware. Entre sus herramientas, utilizan un programa llamado HijackLoader para infectar Windows, y otro llamado AMOS para atacar usuarios de macOS, robando datos como contraseñas e información del navegador. Para protegerte, asegúrate de descargar software solo de sitios oficiales y mantener tu antivirus actualizado.
Conoce más: Ataques Infostealer en Alza: Gamers y Criptousuarios en la Mira
MoneyGram confirmó que fue víctima de un ciberataque que provocó cortes en sus sistemas, lo que generó varias quejas por parte de los clientes. La empresa, detectó el problema y tomó la decisión de desconectar sus sistemas como medida de precaución, lo que dejó a muchos usuarios sin servicio.
La compañía habló de una "interrupción de la red" y confirmó que todo se debió a un incidente de ciberseguridad. Para tranquilizar a sus clientes, MoneyGram aseguró que estaba trabajando con expertos externos y autoridades para investigar lo ocurrido y solucionar el problema.
La duración de la interrupción y los problemas de conectividad han llevado a pensar que puoo haberse tratado de un ataque de ransomware, aunque MoneyGram dijo que no fue asi. "Reconocemos la importancia de la seguridad del sistema al tomar estas medidas. Restauramos nuestros sistemas solo después de tomar amplias medidas de precaución. En este momento, no tenemos evidencia de que este problema involucre ransomware ni tenemos ningún motivo para creer que haya afectado a los sistemas de nuestros agentes", expresó MoneyGram.
Caída del sitio web de MoneyGram
Podría interesarte leer: ¿Es Rentable Invertir en Ciberseguridad?
Dell investigó una filtración de datos después de que un hacker conocido como "Grep" publicara información sensible de más de 10,000 empleados. Según "Grep", el ataque ocurrió en septiembre de 2024 y expuso detalles de empleados y socios, como identificadores únicos y el estado laboral de los afectados.
Se compartió una pequeña muestra de los datos en línea, mientras que el resto de la base de datos fue puesto a la venta en un foro de piratería. Dell confirmó las denuncias y afirmó que su equipo de seguridad estaba investigando el incidente. No era la primera vez que "Grep" se atribuía un ataque de este tipo, ya que también estuvo detrás de una filtración contra Capgemini a principios del mismo mes. Además, Dell ya había enfrentado una violación de datos a principios de 2024, en la que se robaron 49 millones de registros de clientes debido a un abuso de API.
Presuntos datos de Dell filtrados en un foro de piratería
En los últimos meses, varias empresas de transporte y logística en Norteamérica fueron blanco de una campaña de phishing que distribuyó malware, incluidos ladrones de información y troyanos de acceso remoto (RAT). Los atacantes comprometieron cuentas de correo legítimas de empresas de envío, infiltrándose en hilos de correo electrónico existentes para insertar contenido malicioso.
Entre mayo y julio de 2024, los cibercriminales utilizaron principalmente malware como Lumma Stealer y NetSupport, pero en agosto cambiaron de táctica, introduciendo nuevas amenazas como DanaBot y Arechclient2. Los correos de phishing contenían archivos adjuntos maliciosos, como enlaces .URL o de Google Drive, diseñados para engañar a los destinatarios y hacerles ejecutar scripts de malware.
Los atacantes se hicieron pasar por proveedores de software utilizados en la gestión de flotas, demostrando que habían investigado a fondo a sus objetivos. Además, los ataques más recientes también mostraron la aparición de nuevas amenazas, como el ladrón de información RomCom, lo que sugiere que estos ataques evolucionaron de objetivos financieros a posibles fines de espionaje.
Conoce más sobre: Malware RomCom muta en SnipBot: ¿Está tu información en peligro?
El grupo de ransomware Vanilla Tempest intensificó sus ataques, apuntando a organizaciones de atención médica en EE. UU. con el ransomware INC. Este ransomware, operando bajo el modelo de "Ransomware como Servicio" (RaaS), estuvo activo desde julio de 2023 y afectó a empresas como Yamaha Motor Philippines y el NHS de Escocia.
Para sus ataques, Vanilla Tempest utilizó una variedad de herramientas maliciosas. Comenzaron con el malware Gootloader para obtener acceso inicial a los sistemas, luego desplegaron otros programas como Supper y herramientas de acceso remoto como AnyDesk y Mega para moverse lateralmente por las redes y finalmente ejecutar el ransomware INC.
En agosto de 2024, este ransomware afectó gravemente los sistemas sanitarios de McLaren, en Michigan. Vanilla Tempest, activo desde 2021, ha atacado sectores como la salud y la educación utilizando diferentes cepas de ransomware. Anteriormente conocido como Vice Society, también estuvo vinculado a Rhysida, otro grupo de ransomware que atacó el sector sanitario en varias ocasiones.
Los recientes ciberataques nos recuerdan lo vulnerables que pueden ser las empresas ante las ciberamenazas. Por eso, es esencial contar con soluciones que no solo protejan contra ataques, sino que también permitan recuperarse rápidamente. TecnetProtect es una excelente opción, ya que ofrece protección avanzada y copias de seguridad automáticas, asegurando que tus datos estén siempre seguros y puedas restaurarlos sin complicaciones en caso de cualquier incidente.
Además de tener buen software de seguridad, es importante seguir prácticas básicas como mantener tus sistemas actualizados, capacitar a tu equipo para detectar correos sospechosos y hacer backups con regularidad. ¿Qué medidas estás tomando en tu empresa para mantenerte protegido frente a estas amenazas?