Datos de empleados de Amazon filtrados en una fuga mientras el ciberataque MOVEit sigue afectando a víctimas

Dieciocho meses después de que los atacantes explotaran una vulnerabilidad de inyección SQL de día cero (CVE-2023-34362) en la herramienta MOVEit Transfer de Progress Software, siguen surgiendo nuevas víctimas.

Esta semana, Amazon confirmó una brecha que involucró los datos de más de dos millones de empleados. La vulnerabilidad, parcheada en mayo de 2023, fue utilizada por el grupo de ransomware Cl0p para atacar organizaciones en todo el mundo.

Las primeras víctimas en el Reino Unido incluyeron la BBC, Boots y British Airways, comprometidas a través de la empresa de nóminas Zellis.

Recientemente, una empresa de ciberseguridad reveló una fuga de datos que afectó al menos a 25 empresas, publicada por un actor conocido como "Nam3L3ss" en un foro de cibercrimen.

Los investigadores observaron que los datos de Amazon – 2,8 millones de registros – son el conjunto de datos más grande filtrado hasta ahora. Los datos incluyen detalles de contacto de empleados y roles organizativos, lo que podría facilitar ataques de phishing dirigidos. Gal confirmó la autenticidad de los datos al cruzarlos con perfiles de LinkedIn e infecciones de malware conocidas.

Un representante de Amazon reconoció la filtración, aclarando que los sistemas de Amazon permanecen seguros y que solo se expuso información de contacto laboral. Aunque Nam3L3ss afirma no tener afiliación con grupos de ransomware y ser un hacker ético, los expertos en seguridad siguen siendo escépticos respecto a sus declaraciones.

La brecha MOVEit ilustra cómo los datos robados resurgen en la dark web, incluso un año después del ataque inicial. Se observó que, aunque Nam3L3ss podría no haber estado involucrado en la brecha original, sus publicaciones de datos muestran cómo los hackers siguen monetizando la información robada, causando potencialmente daños significativos.

Microsoft corrige 89 vulnerabilidades en Patch Tuesday de noviembre, incluyendo dos Zero-Day activamente explotadas

El Patch Tuesday de Microsoft de noviembre de 2024 abordó 89 vulnerabilidades de seguridad, incluidas cuatro graves vulnerabilidades zero-day, dos de las cuales están siendo explotadas actualmente. Estas actualizaciones cubren una variedad de problemas, destacando 52 vulnerabilidades de ejecución remota de código y 26 fallos de elevación de privilegios.

Entre los parches críticos, CVE-2024-43451, una vulnerabilidad de suplantación de identidad NTLM, permite a los atacantes extraer hashes NTLM con mínima interacción, lo que podría derivar en ataques de suplantación. Otro fallo explotado activamente, CVE-2024-49039, permite la escalada de privilegios a través del Programador de Tareas de Windows, proporcionando a los atacantes acceso de nivel superior.

Este Patch Tuesday también corrige vulnerabilidades divulgadas públicamente, incluyendo una falla de suplantación en Microsoft Exchange (CVE-2024-49040) y un problema de elevación de privilegios en Active Directory (CVE-2024-49019). Este mes, las actualizaciones abordan problemas previamente corregidos en Microsoft Edge y en actualizaciones acumulativas de Windows (KB5046617, KB5046633 para Windows 11 y KB5046613 para Windows 10).

Estos parches subrayan la continua necesidad de prácticas de ciberseguridad sólidas, ya que las vulnerabilidades, especialmente las zero-day, presentan riesgos inmediatos si no se abordan. Microsoft aconseja a los usuarios aplicar estos parches de inmediato para protegerse contra posibles explotaciones.

NCSC y socios globales revelan las vulnerabilidades más explotadas e instan a aplicar parches rápidos y prácticas de diseño seguro

El National Cyber Security Centre (NCSC), en colaboración con socios de EE. UU., Canadá, Australia y Nueva Zelanda, ha publicado un aviso que enumera las 15 vulnerabilidades más explotadas de 2023. La mayoría de estas vulnerabilidades fueron inicialmente objetivo como zero-day, lo que marca un aumento en la explotación de día cero en comparación con 2022.

Este aviso resalta la urgente necesidad de que los defensores de red fortalezcan la gestión de vulnerabilidades aplicando rápidamente las actualizaciones de seguridad e identificando a fondo los activos. NCSC también insta a los proveedores de tecnología a adoptar principios de diseño seguro para mitigar los riesgos en su origen.

El CTO de NCSC, Ollie Whitehouse, enfatizó la importancia de medidas proactivas: “La explotación rutinaria de vulnerabilidades zero-day es ahora la nueva normalidad, subrayando la necesidad de que las organizaciones apliquen parches de inmediato y den prioridad a los productos de diseño seguro.”

Hay parches disponibles para todas las vulnerabilidades enumeradas, pero para las zero-day, la acción rápida es crucial para minimizar la exposición. El aviso también incluye detalles sobre otras 32 vulnerabilidades explotadas el año pasado.

Hive0145 intensifica ataques con malware Strela Stealer, dirigido a credenciales de correo electrónico en España, Alemania y Ucrania

El grupo de cibercriminales Hive0145 ha intensificado ataques en toda Europa utilizando el malware Strela Stealer para robar credenciales sensibles de correo electrónico, afectando especialmente a España, Alemania y Ucrania, según investigadores de IBM X-Force. Las tácticas de Hive0145 han evolucionado del phishing genérico al uso de correos electrónicos robados y legítimos con archivos adjuntos de facturas reales, aumentando la credibilidad y eludiendo la detección – un método conocido como “secuestro de archivos adjuntos.”

Operando como un corredor de acceso inicial con fines financieros desde 2022, Hive0145 ha aumentado su actividad y complejidad desde mediados de 2023, apuntando a sectores como finanzas, tecnología y comercio electrónico. En campañas recientes, el grupo utiliza extensiones de archivo inusuales (.com, .pif) y scripts ofuscados para evitar herramientas de seguridad, con evidencia que sugiere que algunas partes del proceso ahora podrían estar automatizadas para aumentar la escala.

El foco de Strela Stealer sigue siendo las credenciales de correo electrónico, afectando principalmente a dispositivos con configuraciones de teclado en español, alemán o ucraniano. IBM X-Force aconseja a las organizaciones europeas aumentar la concienciación y las defensas contra esta amenaza creciente, especialmente en sectores comúnmente imitados en ataques de phishing.

CISA insta a tomar medidas inmediatas sobre vulnerabilidades críticas de Microsoft Windows CVE-2024-49039 y CVE-2024-43451

La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) ha alertado a las organizaciones sobre dos vulnerabilidades críticas de Microsoft Windows, CVE-2024-49039 y CVE-2024-43451, instando a mitigaciones rápidas para evitar posibles explotaciones.

La primera vulnerabilidad, CVE-2024-49039, afecta al Programador de Tareas de Windows, permitiendo a los atacantes locales elevar privilegios ejecutando código malicioso fuera de entornos restringidos. Exploitar este fallo podría otorgar a los atacantes acceso a funciones RPC privilegiadas, poniendo en riesgo una mayor compromisión. Aunque su uso en campañas de ransomware no está confirmado, la gravedad de la vulnerabilidad requiere atención inmediata.

La segunda vulnerabilidad, CVE-2024-43451, implica la divulgación de hashes NTLMv2 en Microsoft Windows, donde los atacantes podrían extraer hashes NTLMv2 engañando a los usuarios para que abran archivos maliciosos. Este hash permite la suplantación no autorizada de usuarios, representando una amenaza sustancial para las organizaciones que dependen de la autenticación NTLM.

CISA aconseja seguir las instrucciones de mitigación de Microsoft o suspender el uso de sistemas afectados si no están disponibles los parches. La acción inmediata es crucial para evitar que estas vulnerabilidades sean explotadas en ataques futuros. Se recomienda a las organizaciones mantenerse vigilantes y monitorear signos de compromiso.

If you are worried about any of the threats outlined in this bulletin or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager, or alternatively Get in touch to find out how you can protect your organisation. 

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.