UNC5812: Campaña cibernética rusa apunta a usuarios de Android y Windows en operación de espionaje e influencia

Investigadores de seguridad del Grupo de Análisis de Amenazas de Google y especialistas de Mandiant han descubierto una sofisticada campaña cibernética rusa, identificada como UNC5812, que apunta a usuarios de Android y Windows. Lanzada en septiembre de 2024, esta operación combina tácticas de espionaje e influencia, bajo la fachada de una identidad de "Defensa Civil" en Telegram, utilizada para distribuir malware a través de un canal de Telegram y un sitio web relacionado. Haciéndose pasar por un proveedor de software gratuito, el malware aparece como una herramienta de mapeo para localizar reclutadores militares en Ucrania.

El brazo de influencia de UNC5812 utiliza canales de Telegram en idioma ucraniano para difundir narrativas de movilización anti-Ucrania. Estos mensajes promocionados tienen como objetivo erosionar el apoyo público dentro de Ucrania insertando contenido pro-ruso en fuentes de noticias legítimas. El Grupo de Análisis de Amenazas de Google confirma que la operación sigue activa, con canales en ucraniano promoviendo publicaciones hasta el reciente 8 de octubre. Los investigadores creen que UNC5812 está expandiendo activamente su alcance hacia nuevas comunidades, lo que potencialmente prolongaría esta campaña de desinformación.

Interbank de Perú confirma una violación de datos mientras un hacker filtra información sensible de clientes en línea

Interbank, uno de los principales bancos de Perú, ha confirmado una violación de datos tras un ataque por un actor de amenazas que filtró datos de clientes en línea. Interbank, anteriormente conocido como Banco Internacional del Perú, atiende a más de 2 millones de clientes.

"Hemos identificado que algunos datos de un grupo de clientes han sido expuestos por una tercera parte sin nuestra autorización," declaró Interbank, añadiendo que han implementado medidas de seguridad adicionales para proteger la información de los clientes. A pesar de las intermitencias en la app y plataformas en línea del banco, Interbank asegura a los clientes que la mayoría de los servicios están nuevamente en funcionamiento y que los depósitos están seguros.

La violación muestra al actor de amenazas "kzoldyck" vendiendo datos robados, incluyendo nombres de clientes, detalles de cuentas, información de tarjetas de crédito y credenciales en texto claro en foros de hacking. El atacante afirma que los datos abarcan más de 3 millones de cuentas e incluyen credenciales internas sensibles. Aunque el banco aparentemente inició negociaciones, finalmente se negó a cumplir con la demanda de extorsión.

CSE de Canadá revela ciberataques de China e India dirigidos a sectores gubernamentales y privados

El Centro de Seguridad de las Comunicaciones (CSE) de Canadá ha informado de operaciones cibernéticas en curso que atacan redes gubernamentales canadienses por actores estatales, particularmente de la República Popular de China (RPC). Durante los últimos cinco años, estas incursiones cibernéticas han tenido como objetivo recopilar información política y comercial para servir los intereses estratégicos de China, incluyendo espionaje, robo de propiedad intelectual y represión transnacional.

La evaluación de amenazas cibernéticas nacionales del CSE revela que actores de la RPC comprometieron al menos 20 redes gubernamentales canadienses, enfocándose en funcionarios críticos del Partido Comunista Chino (PCC). Una operación apuntó a la Alianza Interparlamentaria sobre China. El sector privado canadiense también ha sido afectado, con actores estatales que supuestamente apuntan a industrias que desarrollan tecnologías de vanguardia, como 6G, computación cuántica y Web 3.0.

El informe también menciona a India como una creciente amenaza cibernética, relacionada con tensiones diplomáticas tras las acusaciones de participación de India en la muerte del activista sikh Hardeep Singh Nijjar en Canadá. Hacktivistas alineados con India atacaron posteriormente redes militares y parlamentarias canadienses.

La policía neerlandesa desmantela redes de malware Redline y Meta en una importante operación internacional contra el cibercrimen

La Policía Nacional Neerlandesa ha desmantelado la infraestructura de red detrás de los malware infostealers Redline y Meta en la “Operación Magnus,” un esfuerzo coordinado con el FBI y las fuerzas de seguridad internacionales. Redline y Meta, ambos conocidos infostealers, recopilan información sensible de navegadores, como credenciales de inicio de sesión, cookies de autenticación, billeteras de criptomonedas e historial de navegación, que los ciberdelincuentes posteriormente venden o utilizan para ejecutar violaciones de datos, ataques de ransomware y ciberespionaje.

Anunciada en un sitio web dedicado, la Operación Magnus advierte que los datos incautados podrían llevar a arrestos. Las autoridades ahora poseen información detallada, incluyendo credenciales de cuentas, direcciones IP y otros datos críticos. Las fuerzas de seguridad también accedieron al código fuente, incluidos los servidores de licencias, servicios API y bots de Telegram asociados con ambos malware.

La policía neerlandesa ha comenzado a notificar a los ciberdelincuentes a través de publicaciones en foros, recordándoles que están siendo monitoreados. Se esperan más actualizaciones e información sobre posibles arrestos en breve, lo que señala un golpe significativo para la comunidad del crimen cibernético.

Violación de la base de datos de seguridad nacional de Italia expone datos de 800,000 personas, incluidos altos funcionarios

Una violación de la base de datos de seguridad nacional de Italia ha expuesto información sensible de 800,000 individuos, incluidos personajes de alto perfil como el presidente Sergio Mattarella y el ex primer ministro Matteo Renzi, según informó The Cyber Express. La empresa de investigaciones con sede en Milán, Equalize, dirigida por el ex oficial de policía Carmine Gallo, está acusada de haber orquestado el hackeo desde 2019 hasta marzo de 2024. Los fiscales acusan a Gallo, junto con los co-conspiradores Nunzio Samuele Calamucci, Massimiliano Camponovo y Giulio Cornelli, de haber facilitado la violación usando oficiales de policía sobornados, troyanos de acceso remoto y acceso no autorizado a través del personal de mantenimiento del Ministerio del Interior.

Las autoridades también están investigando posibles vínculos con el heredero de Luxottica, Leonardo Maria Del Vecchio, y el exbanquero de Lehman Brothers, Matteo Arpe. El incidente ha provocado el despliegue de amplias fuerzas de tarea y ha llevado a legisladores italianos a solicitar una revisión exhaustiva de los protocolos de ciberseguridad del Ministerio del Interior en respuesta a las vastas implicaciones de la violación.

If you are worried about any of the threats outlined in this bulletin or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager, or alternatively Get in touch to find out how you can protect your organisation. 

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.