Apple confirma ataques Zero-Day dirigidos a Mac con procesadores Intel y lanza actualizaciones críticas de seguridad

Apple ha lanzado actualizaciones de seguridad urgentes para macOS e iOS para abordar dos vulnerabilidades de tipo Zero-Day explotadas activamente en sistemas Mac con procesadores Intel. Las fallas, identificadas como CVE-2024-44308 y CVE-2024-44309, se encuentran en JavaScriptCore y WebKit, respectivamente. La explotación de estas vulnerabilidades podría permitir a los atacantes ejecutar código arbitrario o llevar a cabo ataques de cross-site scripting mediante contenido web malicioso.

Para mitigar estos riesgos, Apple ha publicado actualizaciones para iOS 18.1.1, macOS Sequoia 15.1.1 y iOS 17.7.2 para dispositivos más antiguos. Se recomienda encarecidamente a los usuarios instalar estas actualizaciones de inmediato para proteger sus sistemas de posibles ataques.

Este desarrollo sigue a informes recientes sobre actores cibernéticos norcoreanos que apuntan a usuarios de macOS con campañas de malware que incluyen correos electrónicos de phishing y aplicaciones PDF falsas. Estos incidentes destacan el creciente enfoque de los actores de amenazas en las plataformas macOS, subrayando la necesidad de que los usuarios mantengan medidas de seguridad actualizadas.

La recurrencia de exploits de tipo Zero-Day dirigidos a sistemas macOS enfatiza la importancia de la vigilancia continua y las actualizaciones de software oportunas para protegerse contra amenazas emergentes.

El grupo de ransomware Akira publica una fuga de datos, afectando a 35 víctimas en un solo día

El grupo de ransomware Akira ha publicado datos de 35 víctimas en su sitio de fugas en la darknet en un solo día, marcando un aumento sin precedentes en sus actividades criminales. Surgido en marzo de 2023, Akira opera como una plataforma de ransomware como servicio, permitiendo a sus afiliados extorsionar a las víctimas robando y cifrando datos. En su primer año, el grupo acumuló 42 millones de dólares a partir de aproximadamente 250 ataques, según el FBI.

La reciente fuga masiva incluye 32 nuevas víctimas, predominantemente del sector de servicios empresariales en los Estados Unidos, con objetivos adicionales en Canadá, Alemania y el Reino Unido. El investigador de ciberseguridad Adi Bleih señaló que este volumen de divulgaciones simultáneas es altamente inusual, lo que sugiere una posible escalada en las operaciones de Akira. El sitio de fugas del grupo, diseñado al estilo de las interfaces de los años 80, incluye secciones para las víctimas recientes y los datos publicados, funcionando como una herramienta de extorsión.

Este desarrollo genera preocupaciones sobre el aumento de la sofisticación y agresividad de los grupos de ransomware. Se insta a las organizaciones a reforzar sus medidas de ciberseguridad para mitigar el riesgo de este tipo de ataques. La escala sin precedentes de las recientes fugas de datos de Akira subraya la necesidad crítica de vigilancia y protocolos de seguridad robustos frente a las amenazas cibernéticas en evolución.

El grupo de ransomware Helldown explota vulnerabilidades de Zyxel VPN para infiltrarse en redes y cifrar datos

El grupo de ransomware Helldown está explotando vulnerabilidades en los cortafuegos Zyxel para infiltrarse en redes corporativas, robar datos y cifrar sistemas. La empresa francesa de ciberseguridad Sekoia informa que Helldown ha crecido rápidamente desde su aparición a mediados de 2024, enumerando numerosas víctimas en su portal de extorsión de datos.

Documentado inicialmente por Cyfirma en agosto de 2024, la variante para Windows de Helldown se basa en el constructor filtrado LockBit 3, compartiendo similitudes operativas con los ransomware Darkrace y Donex. Una variante para Linux dirigida a archivos de VMware fue identificada por 360NetLab en octubre, lo que indica esfuerzos de desarrollo continuos.

Se cree que el grupo explota vulnerabilidades críticas en los cortafuegos Zyxel, como CVE-2023-33009 y CVE-2023-33010, ambas relacionadas con problemas de desbordamiento de búfer que permiten a atacantes no autenticados ejecutar código de manera remota o causar condiciones de denegación de servicio. Zyxel lanzó parches para estas vulnerabilidades en mayo de 2023, instando a los usuarios a actualizar sus sistemas de inmediato.

Este desarrollo subraya la importancia de las actualizaciones de software oportunas y medidas de ciberseguridad robustas para protegerse contra las amenazas de ransomware en evolución. Se aconseja a las organizaciones revisar sus protocolos de seguridad de red y asegurarse de que todos los dispositivos estén actualizados para mitigar riesgos potenciales.

Bandas de ransomware rusas reclutan Penetration Testers para fortalecer operaciones criminales

Las bandas de ransomware rusas, incluidas Apos, Lynx y Rabbit Hole, están reclutando activamente penetration testers para mejorar sus operaciones criminales. Estas bandas publican ofertas de empleo en foros en ruso, buscando personas con experiencia en la identificación de vulnerabilidades de sistemas.

El pentesting implica simular ciberataques para descubrir debilidades de seguridad, una práctica tradicionalmente utilizada por organizaciones legítimas para reforzar sus defensas. Sin embargo, estos grupos de ransomware están aprovechando estas habilidades para mejorar la efectividad de sus actividades maliciosas. Esta tendencia destaca la creciente profesionalización dentro del ecosistema criminal cibernético, donde el reclutamiento estructurado y los roles especializados son cada vez más comunes.

Los hallazgos se detallan en el "Informe de Amenazas SASE CTRL de Cato Networks para el T3 de 2024", que también señala un aumento de amenazas provenientes de aplicaciones de inteligencia artificial no autorizadas, denominadas "Shadow AI". Además, el informe señala que algunas organizaciones dudan en implementar Transport Layer Security (TLS) debido a los riesgos asociados, lo que podría dejarlas más vulnerables a las amenazas cibernéticas.

T-Mobile confirma un hackeo en medio de una ola de brechas en telecomunicaciones vinculadas a actores de amenazas chinos

T-Mobile ha confirmado su participación en una serie de recientes brechas en telecomunicaciones atribuidas a actores de amenazas chinos que buscan acceder a comunicaciones privadas, registros de llamadas y solicitudes de información por parte de las fuerzas del orden. La empresa afirmó que, a pesar de la brecha, no hay evidencia de impactos significativos en sus sistemas o datos de clientes. T-Mobile está monitoreando activamente la situación y colaborando con pares de la industria y autoridades pertinentes para abordar el problema.

Este incidente forma parte de una campaña más amplia que apunta a múltiples empresas de telecomunicaciones en los Estados Unidos, incluidas AT&T, Verizon y Lumen Technologies. Las brechas han generado preocupaciones sobre la seguridad de información sensible en el sector de las telecomunicaciones.

La rápida respuesta de T-Mobile subraya la importancia de la vigilancia y medidas de seguridad robustas para proteger los datos de los clientes contra sofisticadas amenazas cibernéticas. La compañía continúa trabajando estrechamente con las autoridades para mitigar los riesgos potenciales derivados de esta brecha.

La fintech Finastra investiga una brecha de datos tras un ataque a su sistema SFTP

Finastra, un importante proveedor de tecnología financiera, está investigando una brecha de datos tras el acceso no autorizado a su plataforma de transferencia segura de archivos (SFTP) el 7 de noviembre de 2024. La brecha involucró credenciales comprometidas, lo que permitió a los atacantes acceder al sistema SFTP.

Finastra sirve a más de 8,000 instituciones en 130 países, incluidas 45 de los 50 principales bancos del mundo. La empresa ha contratado a expertos externos en ciberseguridad para ayudar en la investigación y ha notificado a los clientes afectados. Un actor de amenazas, identificado como "abyss0," se ha atribuido la responsabilidad, alegando poseer 400 GB de datos robados. Finastra no ha confirmado la validez de esta afirmación.

Este incidente destaca la importancia crítica de medidas de seguridad robustas para proteger datos financieros sensibles. Se recomienda a las organizaciones revisar sus políticas de seguridad para prevenir accesos no autorizados y proteger datos altamente confidenciales.

If you are worried about any of the threats outlined in this bulletin or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager, or alternatively Get in touch to find out how you can protect your organisation. 

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.