Los ciberataques no se toman descanso, y octubre de 2024 no es la excepción… ¡ni siquiera siendo el mes de la concientización sobre ciberseguridad! Mientras todos intentamos reforzar nuestras defensas, los atacantes siguen encontrando nuevas formas de poner en jaque a empresas grandes y pequeñas, con tácticas cada vez más sofisticadas y ataques de ransomware que no dan tregua. En este resumen, te contamos lo más importante que pasó este mes. Porque en el juego de la seguridad digital, estar informado es clave para mantenerse un paso adelante de las amenazas.
El pasado 28 de septiembre de 2024, Internet Archive sufrió su primera gran filtración de datos, exponiendo información de 31 millones de usuarios de su popular "Wayback Machine". Todo comenzó cuando una alerta de JavaScript en el sitio reveló correos electrónicos, contraseñas cifradas (bcrypt) y otros datos internos. Troy Hunt, experto en seguridad y creador de "Have I Been Pwned", confirmó el incidente y anunció que pronto los usuarios afectados podrán verificar si sus datos fueron comprometidos. Mientras tanto, Internet Archive se puso manos a la obra para reforzar su seguridad y proteger sus sistemas.
Pero eso no fue todo. Poco después de la primera filtración, se descubrió otra vulnerabilidad en la plataforma de soporte por correo electrónico Zendesk, utilizada por Internet Archive. Resulta que unos tokens de autenticación de GitLab no rotados permitieron a un atacante acceder a más de 800,000 tickets de soporte, algunos de ellos con datos personales desde 2018, incluyendo solicitudes de eliminación de contenido y consultas generales. Aunque ya se les había advertido sobre estos tokens expuestos, Internet Archive no los había rotado, lo que facilitó otra filtración de datos significativa.
Lo más llamativo es que parece que estos ataques no fueron motivados por razones económicas. El atacante detrás del incidente de Zendesk también accedió al código fuente de Internet Archive y a otros datos sensibles, dejando claro que el objetivo iba más allá del dinero y que las vulnerabilidades en plataformas populares siguen siendo un riesgo para millones de usuarios.
Conoce más sobre: Internet Archive Sufre Nueva Brecha por Tokens de Acceso Robados
Mamba 2FA es una plataforma de phishing como servicio (PhaaS) que tiene en la mira las cuentas de Microsoft 365, usando un método de ataque llamado "adversario en el medio" (AiTM). Básicamente, logra burlar la autenticación de dos factores (MFA) al capturar los tokens de autenticación de las víctimas a través de páginas de inicio de sesión falsas que son tan convincentes como las reales.
Esta herramienta se alquila por $250 al mes y ha estado activa desde noviembre de 2023. Con el tiempo, ha mejorado su tecnología para evitar ser detectada, incluyendo servidores proxy y dominios que cambian frecuentemente. Los objetivos principales son tanto cuentas corporativas como de usuarios individuales, con plantillas de phishing especialmente diseñadas para servicios populares como OneDrive y SharePoint. Una vez que la víctima cae en la trampa, Mamba 2FA envía las credenciales y cookies robadas directamente a los atacantes a través de un bot en Telegram, permitiéndoles acceder de inmediato a las cuentas comprometidas.
Además, Mamba 2FA es lo suficientemente sofisticada como para detectar entornos de sandbox (espacios de prueba), lo que le permite evadir análisis de seguridad y hacer que sea más difícil de rastrear o bloquear.
Investigadores de seguridad han detectado una nueva campaña de phishing en Latinoamérica, encabezada por un grupo de amenazas conocido como Water Makara. Este grupo está usando el troyano bancario Astaroth para atacar a empresas en la región, con un enfoque especial en Brasil. Los sectores más afectados son el manufacturero, minorista y gubernamental, y la estrategia de ataque es bastante clásica: los hackers envían correos disfrazados de documentos fiscales urgentes para engañar a los usuarios y hacer que descarguen el malware.
Los correos maliciosos incluyen un archivo zip que contiene un acceso directo de Windows, diseñado para explotar mshta.exe. Al hacer clic, se establece una conexión con un servidor de comando y control, permitiendo a los atacantes ejecutar otras acciones maliciosas en el sistema.
Aunque Astaroth no es un troyano nuevo, sigue siendo una amenaza potente y persistente que puede causar daños serios tanto en la confianza de los usuarios como en las operaciones de las empresas. Para reducir el riesgo, es clave que las organizaciones adopten buenas prácticas de seguridad como contraseñas fuertes, autenticación multifactor (MFA) y actualizaciones de software constantes.
Te podrá interesar leer: Troyanos Bancarios: Creciente Amenaza en Latinoamérica
La nueva campaña de phishing llamada ClickFix está haciendo de las suyas, usando invitaciones falsas de Google Meet para engañar a los usuarios y robar su información. Así es como funciona: reciben un correo que parece ser una invitación de Google Meet, pero al hacer clic son dirigidos a una página falsa de la plataforma. Una vez allí, aparece un mensaje con errores de conectividad falsos y un botón de "Probar solución". Si el usuario hace clic, se ejecuta un script de PowerShell que instala malware en el sistema, afectando tanto a Windows como a macOS.
Los ataques de ClickFix distribuyen una variedad de malware, incluyendo DarkGate, Matanbuchus, NetSupport, Amadey Loader, XMRig y Lumma Stealer, diseñados para robar información o incluso secuestrar el portapapeles.
Esta táctica de ingeniería social fue detectada por primera vez en mayo de 2024 y es obra del grupo TA571, que también ha usado errores falsos de Chrome, Microsoft Word y OneDrive para convencer a las víctimas de copiar y ejecutar código malicioso en sus sistemas. Recientemente, los ataques han apuntado a sectores como el transporte y la logística, utilizando correos de phishing, páginas de Facebook falsas y alertas engañosas en GitHub.
Se cree que dos grupos de estafadores, Slavic Nation Empire y Scamquerteo, están detrás de esta campaña y de otras similares, suplantando plataformas como Zoom, navegadores web3 y hasta videojuegos para distribuir malware.
La policía de los Países Bajos acaba de darle un duro golpe al cibercrimen: confiscaron la infraestructura detrás de las operaciones de malware de robo de datos RedLine y Meta en lo que llamaron la “Operación Magnus”. Y como un mensaje claro para los ciberdelincuentes, advirtieron que ahora toda esa información está en manos de las autoridades.
El anuncio de la Operación Magnus se publicó en un sitio web especial, donde las autoridades compartieron detalles sobre cómo lograron frenar las actividades de estos malwares. También dejaron claro que se vienen acciones legales basadas en los datos incautados.
En un comunicado, dijeron: “El 28 de octubre de 2024, la Policía Nacional de los Países Bajos, en colaboración con el FBI y otros socios internacionales, desmanteló la operación de los ladrones de información RedLine y Meta”.
Conoce más sobre: Operación Magnus: Cierre de Actividades de Malware
En Octubre, han surgido noticias alarmantes sobre posibles hackeos a sistemas de dependencias gubernamentales en México, incluyendo a la Fiscalía General de la República (FGR) y el Instituto Mexicano de la Propiedad Industrial (IMPI). Al parecer, estos sistemas están en riesgo de ser controlados de manera remota por atacantes.
Todo esto comenzó por una falla crítica de seguridad en Microsoft SharePoint, una plataforma de colaboración que se usa en muchas organizaciones, incluidas dependencias del gobierno mexicano. La vulnerabilidad, identificada como CVE-2024-38094, permitió que atacantes pudieran tomar el control remoto de los sistemas afectados, poniendo en riesgo datos sensibles y operaciones clave.
La gravedad del problema fue clasificada como 7.2 en la escala CVSS (que va de 0 a 10), lo cual indica un riesgo bastante serio. Para colmo, esta vulnerabilidad ya estaba siendo explotada activamente, así que las autoridades tuvieron que moverse rápido para reforzar la seguridad.
La falla está relacionada con algo llamado “deserialización insegura”, que, en pocas palabras, permite a los atacantes ejecutar código malicioso y tomar control de los sistemas afectados. Esto es especialmente preocupante para instituciones gubernamentales que usan SharePoint para manejar información crítica y coordinar operaciones importantes.
Últimamente, los afiliados de Black Basta han cambiado su estilo y ahora están usando Microsoft Teams para atacar a trabajadores. La técnica es: primero bombardean la bandeja de entrada de un trabajador con montones de correos electrónicos inofensivos (boletines, confirmaciones de compra, etc.) hasta que el buzón se llena y el empleado se siente abrumado.
Pero esta vez, en lugar de llamar por teléfono, los atacantes contactan directamente a través de Microsoft Teams, haciéndose pasar por el equipo de soporte de TI de la empresa. Usan cuentas creadas en dominios de Entra ID con nombres que suenan oficiales, como "Soporte Técnico" o algo parecido, para que el mensaje parezca legítimo. Desde ahí, se ofrecen a “ayudar” con el problema del spam y, una vez que logran ganarse la confianza del trabajador, consiguen acceso al dispositivo y a la red de la empresa.
Conoce más: Ransomware Black Basta se Hace Pasar por Soporte de TI en Teams
Los ataques cibernéticos son cada vez más ingeniosos, y los ciberdelincuentes están usando cualquier herramienta a su alcance, incluso plataformas de trabajo como Microsoft Teams, para engañar y vulnerar a las empresas. Por eso, una buena estrategia de ciberseguridad no solo implica tener la tecnología adecuada, sino también preparar a los trabajadores para detectar y responder a estas amenazas de manera efectiva.
En TecnetOne, nos dedicamos a ayudar a las empresas a proteger sus datos y reducir riesgos con soluciones de ciberseguridad completas: desde monitoreo de amenazas hasta asesoría en prácticas de seguridad. ¿Tu empresa está lista para enfrentar las amenazas digitales que están surgiendo?