Black Basta lanza nueva herramienta de fuerza bruta para atacar dispositivos perimetrales

Investigadores de ciberseguridad han descubierto un framework de fuerza bruta previamente desconocido utilizado por el grupo de ransomware Black Basta para comprometer VPNs, firewalls y otros dispositivos de borde. Llamada “BRUTED”, la herramienta fue revelada en registros de chat privados filtrados y analizados por EclecticIQ. Activa desde 2023, BRUTED automatiza ataques de credential stuffing contra productos populares de Cisco, Fortinet, Palo Alto, SonicWall, WatchGuard, Citrix y Microsoft RDWeb.
El framework realiza escaneos de red, extrae datos SSL y genera contraseñas basadas en credenciales débiles o reutilizadas. Según EclecticIQ, BRUTED permite a los afiliados escalar ataques y acelerar el despliegue de ransomware.
Irónicamente, un ataque de fuerza bruta puede haber revelado los chats internos del propio grupo tras vulnerar un banco ruso, violando una norma no escrita.
Black Basta ha apuntado a 12 sectores críticos, centrando su actividad en víctimas de alto valor como sanidad e industria manufacturera, menos capaces de soportar interrupciones.

Grave vulnerabilidad de Windows explotada por 11 grupos estatales desde 2017

Una vulnerabilidad zero-day de Windows, identificada como ZDI-CAN-25373, ha sido explotada activamente por al menos 11 grupos de hackers patrocinados por estados como Corea del Norte, Irán, Rusia y China desde 2017.
Trend Micro advierte que la falla afecta a cómo Windows muestra archivos .LNK (accesos directos), permitiendo ocultar y ejecutar código malicioso sin conocimiento del usuario. A pesar del abuso generalizado, Microsoft se ha negado a parchearla.
Se encontraron casi 1.000 muestras de explotación, usadas en campañas de espionaje y robo de datos, centradas principalmente en América del Norte, Europa, Asia Oriental y Australia.
Grupos como APT43, Mustang Panda y Evil Corp han utilizado esta técnica para desplegar malware como Ursnif, Gh0st RAT y Trickbot.
Trend Micro insta a tener precaución con accesos directos sospechosos, ya que el fallo sigue sin corrección.

Más de 300 apps maliciosas de Android infectan 60 millones de dispositivos

Una campaña masiva de malware en Android, llamada “Vapor”, ha infectado más de 60 millones de dispositivos a través de más de 300 aplicaciones en Google Play, según IAS Threat Lab y Bitdefender.
Inicialmente reportada en 2024, la campaña ahora incluye 331 apps, con infecciones significativas en Brasil, EE.UU., México, Turquía y Corea del Sur.
Las aplicaciones, disfrazadas de utilidades como escáneres QR, apps fitness o blocs de notas, activaban funciones maliciosas tras la instalación, incluyendo adware agresivo, robo de credenciales y datos bancarios.
Algunas ocultaban su ícono e imitaban apps legítimas como Google Voice. Bitdefender señala que el malware burló protecciones de Android 13+ usando componentes ocultos y overlays.
Aunque las apps fueron retiradas, los expertos advierten que Vapor podría regresar. Los usuarios deben revisar permisos y evitar apps de desarrolladores desconocidos.

El sector educativo no está preparado para los ciberataques, según informe

Un informe de KnowBe4 advierte que escuelas y universidades están mal preparadas ante el aumento de ciberataques. Titulado “De Primaria a Universidades”, el estudio muestra que el sector educativo fue el más atacado en 2024.
La dependencia de terceros, sistemas obsoletos y falta de recursos dejan a muchas instituciones vulnerables.
En 2024 se registraron 1.780 incidentes cibernéticos contra centros educativos, ubicando al sector entre los cinco más afectados a nivel global.
Trustwave también documentó 352 ataques ransomware contra escuelas, siendo el phishing el método de entrada más común.
El informe destaca que la formación continua en seguridad funciona: en instituciones pequeñas, la susceptibilidad al phishing bajó de 33,4% a 3,9% tras un año de entrenamiento.

Grave filtración de datos en Francia expone a millones

Una gran brecha de seguridad en Francia ha expuesto los datos personales de millones de personas, ahora a la venta en la dark web por 10.000 € en criptomonedas.
Los datos incluyen nombres, direcciones, correos electrónicos, teléfonos, estado civil e incluso centros postales cercanos. El hacker, conocido como “Angel Batista”, filtró 100.000 registros para demostrar su autenticidad.
Se desconoce el origen exacto, pero se sospecha de un organismo gubernamental o aseguradora. Las víctimas enfrentan riesgos de suplantación de identidad, phishing y venta repetida de datos.
Se recomienda usar autenticación en dos pasos, contraseñas únicas y complejas, y no compartir información personal en enlaces o llamadas sospechosas.
Revise frecuentemente sus movimientos bancarios. En caso de duda, cuelgue y contacte a su banco desde otro dispositivo.

If you are worried about any of the threats outlined in this bulletin or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager, or alternatively Get in touch to find out how you can protect your organisation. 

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.