Hackers norcoreanos roban 1.500 millones de dólares de Bybit en el mayor robo de criptomonedas de la historia 

Bybit, un importante exchange de criptomonedas, ha confirmado el robo de 1.500 millones de dólares en Ethereum tras un ataque el 21 de febrero. El FBI ha atribuido la violación al Grupo Lazarus de Corea del Norte, convirtiéndolo en el mayor robo de criptomonedas registrado hasta la fecha. 

Los hackers explotaron una vulnerabilidad en la billetera fría de Ethereum de Bybit, manipulando la plataforma Safe{Wallet} para autorizar una transacción fraudulenta. Más de 400.000 ETH y stETH fueron transferidos a una dirección desconocida. 

Desde la brecha de seguridad, investigadores de blockchain, incluidos ZachXBT, Elliptic y TRM Labs, han encontrado conexiones entre los fondos robados de Bybit y ataques previos a Phemex, BingX y Poloniex, todos vinculados al Grupo Lazarus. 

Bybit ha asegurado a los usuarios que todas las demás billeteras siguen seguras y que los retiros se están procesando con normalidad, aunque con posibles retrasos. El FBI ha emitido una alerta pública, instando a los servicios de criptomonedas a bloquear transacciones de 51 direcciones de Ethereum vinculadas al ataque, ya que los hackers intentan blanquear los fondos robados. 

Have I Been Pwned añade 284 millones de cuentas robadas por malware infostealer 

El servicio de notificación de filtraciones de datos Have I Been Pwned (HIBP) ha agregado 284 millones de cuentas comprometidas por malware infostealer y compartidas en un canal de Telegram llamado “ALIEN TXTBASE”. 

El fundador de HIBP, Troy Hunt, descubrió estos datos mientras analizaba 1,5 TB de registros de robo, que contenían 23 mil millones de registros, incluidas 493 millones de combinaciones únicas de sitios web y direcciones de correo electrónico. También se han añadido 244 millones de nuevas contraseñas a la base de datos Pwned Passwords. 

Las credenciales robadas, probablemente recopiladas a través de violaciones de datos y ataques de credential stuffing, fueron verificadas antes de ser añadidas. Nuevas APIs ahora permiten a los propietarios de dominios y administradores de sitios web buscar cuentas comprometidas. 

Los usuarios pueden verificar si su correo electrónico está en la lista a través de notificaciones de HIBP, aunque los detalles completos permanecen privados por razones de seguridad. Esta actualización sigue a la inclusión de 12 millones de cuentas de Zacks Investment a principios de mes y 441.000 cuentas robadas por el malware RedLine en 2021. 

Reino Unido lidera Europa en ataques de malware, según NordVPN 

Un nuevo informe revela que el Reino Unido tiene la mayor tasa de ataques de malware en Europa, con más de 669 millones de incidentes bloqueados el año pasado. El informe destaca un aumento en las amenazas cibernéticas, especialmente a través de correos electrónicos de phishing, enlaces maliciosos y vulnerabilidades de software. 

Los ciberdelincuentes suplantan marcas populares como Google, Facebook y Microsoft para robar información personal. Google fue la marca más imitada en 2024, con 85.000 URL falsas detectadas. Además, los fraudes digitales aumentan durante la temporada navideña, con 54 millones de intentos bloqueados entre agosto y diciembre. 

Las plataformas de alojamiento de videos gratuitas, como YouTube y Dailymotion, junto con los sitios de streaming de anime, presentan importantes riesgos de seguridad. NordVPN bloqueó 1.500 millones de intentos de infección por malware en estas plataformas en 2024. 

Los expertos recomiendan a los usuarios verificar enlaces, evitar correos electrónicos de phishing y mantener su software actualizado para evitar ataques cibernéticos. 

EncryptHub ataca a organizaciones globales con campañas de spear-phishing 

El actor de amenazas cibernéticas EncryptHub (también conocido como Larva-208) ha estado atacando organizaciones de todo el mundo con campañas de spear-phishing e ingeniería social desde junio de 2024, según un informe de Prodaft. El grupo ha comprometido al menos 618 organizaciones, desplegando software de monitoreo remoto (RMM), infostealers como Stealc y Rhadamanthys, y ransomware. 

EncryptHub está vinculado a RansomHub y BlackSuit, aunque en algunos ataques utiliza un cifrador personalizado basado en PowerShell. El grupo falsifica páginas de inicio de sesión de VPN corporativas como Cisco AnyConnect, Fortinet y Microsoft 365, capturando credenciales y tokens de autenticación multifactor (MFA) en tiempo real. 

Los hackers alojan los sitios de phishing en servicios de alojamiento bulletproof y han registrado más de 70 dominios falsos para hacer más creíbles sus campañas. Una vez que obtienen acceso, EncryptHub instala herramientas RMM como AnyDesk y TeamViewer para mantener el control del sistema y robar datos. 

Prodaft advierte que las tácticas avanzadas de ingeniería social y técnicas de ofuscación de EncryptHub lo convierten en una grave amenaza para organizaciones de alto valor. 

3,2 millones de usuarios comprometidos por un ataque a extensiones de Chrome 

Una importante brecha de seguridad ha afectado a más de 3,2 millones de usuarios de Chrome, con 16 extensiones populares, incluidas Adblock for Chrome y WAToolkit, secuestradas para inyectar scripts maliciosos destinados a fraudes y manipulación de tráfico de afiliados. 

Investigadores de seguridad descubrieron que los atacantes comprometieron cuentas de desarrolladores, utilizando ataques a la cadena de suministro para distribuir actualizaciones maliciosas sin que los usuarios se dieran cuenta. Las extensiones, diseñadas originalmente para bloquear anuncios, capturar pantallas y ofrecer teclados emoji, fueron modificadas para robar datos, alterar solicitudes HTTP e inyectar anuncios en las páginas web. 

El ataque explotó permisos de extensiones de Chrome, como acceso a hosts y control de scripts, lo que dificultó su detección. Los investigadores vincularon esta infraestructura con campañas de phishing previas dirigidas a desarrolladores de software confiables. 

Google eliminó las extensiones maliciosas, pero los usuarios deben desinstalar las extensiones afectadas y revisar los permisos antes de instalar nuevas extensiones. Los expertos advierten que los ataques a la cadena de suministro en extensiones confiables representan una amenaza creciente para la ciberseguridad. 

If you are worried about any of the threats outlined in this bulletin or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager, or alternatively Get in touch to find out how you can protect your organisation. 

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.