Microsoft corrigió más de 70 CVE en su última actualización de Patch Tuesday del año

La actualización de Patch Tuesday de diciembre de 2024 de Microsoft incluye 71 correcciones de seguridad, incluida una vulnerabilidad de día cero en Windows (CVE-2024-49138) que está siendo explotada activamente para escalada de privilegios. Esto eleva el total de parches de Microsoft en el año a 1,020, el segundo número más alto después de 2020.

La vulnerabilidad crítica CVE-2024-49112 en Windows LDAP, con una puntuación CVSS de 9.8, permite la ejecución remota de código sin autenticación, poniendo en riesgo los controladores de dominio. Microsoft sugiere desconectar los controladores de dominio de Internet, aunque los expertos recomiendan aplicar el parche rápidamente.

Otro problema urgente, CVE-2024-49117 en Hyper-V, permite ataques entre máquinas virtuales con autenticación básica. Nueve vulnerabilidades críticas afectan a Remote Desktop Services, incluida una falla use-after-free (CVE-2024-49132) que permite la ejecución remota de código.

Otros riesgos incluyen escalada de privilegios en el sistema de archivos resiliente de Windows (CVE-2024-49093) y una vulnerabilidad RCE (CVE-2024-49063) en Musik, un proyecto de inteligencia artificial.

Instamos a las organizaciones a aplicar los parches de inmediato, especialmente para las vulnerabilidades que afectan servicios remotos, para evitar su explotación y garantizar una seguridad sólida en los sistemas. Para más información, haz clic AQUÍ.

El malware Malichus explota una vulnerabilidad de día cero en Cleo para robar datos sensibles

Investigadores de ciberseguridad han identificado una vulnerabilidad de día cero crítica en el software de transferencia de archivos de Cleo, que está siendo explotada activamente por el malware Malichus para facilitar el robo de datos. Esta vulnerabilidad permite a los atacantes ejecutar código arbitrario de forma remota, comprometiendo información sensible. Malichus, un malware sofisticado, utiliza esta vulnerabilidad para infiltrarse en los sistemas, exfiltrar datos y establecer accesos persistentes.

Cleo ha lanzado parches para solucionar el problema, y se insta encarecidamente a los usuarios a actualizar sus sistemas de inmediato para mitigar los riesgos potenciales. Este incidente subraya la importancia de realizar actualizaciones de software a tiempo y adoptar medidas de seguridad robustas para protegerse contra amenazas emergentes.

El ransomware Lynx ataca a Electrica Group en un ataque significativo

La Dirección Nacional de Ciberseguridad de Rumanía (DNSC) ha confirmado que el grupo de ransomware Lynx violó a Electrica Group, un importante proveedor de electricidad que presta servicio a más de 3.8 millones de usuarios en Muntenia y Transilvania. Electrica, que cotiza en las bolsas de Londres y Bucarest, informó sobre el ataque en curso, asegurando a los inversores que los sistemas críticos, incluidos los SCADA, no se vieron afectados.

El ransomware Lynx está activo desde mediados de 2024, con más de 78 víctimas, incluidos sectores energéticos e industriales en Estados Unidos. Utilizando un cifrador vinculado al malware INC Ransom, Lynx emplea tácticas de ransomware como servicio para atacar entidades a nivel global.

La DNSC, en colaboración con Electrica, proporcionó un script YARA para ayudar a las organizaciones a detectar rastros de malware y exhortó a todas las entidades a escanear sus sistemas, especialmente en el sector energético. La agencia advirtió contra el pago de rescates y subrayó la importancia de la vigilancia ante el aumento de las amenazas cibernéticas.

Este ataque sigue a una serie de incidentes de alto perfil en Rumanía, incluidos un asalto de ransomware Backmydata a hospitales y ciberataques dirigidos a la infraestructura electoral.

Ciberataque a Krispy Kreme interrumpe pedidos en línea, investigaciones en curso

Krispy Kreme reveló un ciberataque ocurrido el 29 de noviembre que interrumpió significativamente su sistema de pedidos en línea en algunas partes de Estados Unidos, aunque las tiendas físicas y las entregas diarias no se vieron afectadas. Las ventas en línea representaron el 15.5% de los ingresos de la empresa en el tercer trimestre de 2024, amplificando el impacto.

La violación, divulgada a través de un archivo 8-K de la SEC, llevó a Krispy Kreme a involucrar a expertos en ciberseguridad y notificar a las fuerzas del orden federales. La empresa continúa evaluando el alcance y el impacto, anticipando pérdidas materiales debido al cese de las ventas digitales y a los gastos de ciberseguridad, compensados parcialmente por el seguro.

Los expertos especulan que el ataque pone de manifiesto vulnerabilidades en los sistemas interconectados. Krispy Kreme aseguró a los accionistas que es poco probable que los impactos a largo plazo afecten su situación financiera mientras avanzan los esfuerzos de recuperación.

Operación PowerOFF desmantela plataformas de alquiler de DDoS, se realizan arrestos

Agencias policiales de 15 países han desmantelado 27 plataformas de alquiler de ataques DDoS, arrestado a tres administradores e identificado a 300 clientes como parte de la Operación PowerOFF, una ofensiva internacional contra el ciberdelito de denegación de servicio distribuida (DDoS).

Estas plataformas, conocidas también como "booters" o "stressers", permiten a los clientes que pagan lanzar ataques utilizando redes de bots para interrumpir servicios en línea. Estos ataques, particularmente durante la temporada navideña, pueden causar importantes interrupciones de servicio y pérdidas comerciales.

Europol coordinó la operación, proporcionando apoyo analítico y forense. Entre los sitios confiscados se encuentran zdstresser.net y orbitalstress.net, que ahora muestran avisos de las fuerzas del orden. La policía holandesa arrestó a cuatro sospechosos responsables de miles de ataques e identificó a 200 usuarios de las plataformas, emitiendo advertencias o iniciando procesos judiciales.

Las autoridades continúan investigando con el objetivo de limitar estos servicios y responsabilizar a los usuarios.

El grupo de ransomware Termite ataca a Blue Yonder y roba datos

El grupo de ransomware Termite se ha atribuido la responsabilidad de un ciberataque contra Blue Yonder, un proveedor estadounidense de tecnología para la cadena de suministro, robando 680 GB de datos. La filial de Panasonic con sede en Scottsdale, Arizona, presta servicio a más de 3,000 clientes, incluidos Morrisons, Sainsbury’s, Tesco y Starbucks.

Blue Yonder confirmó que el ataque interrumpió su "entorno alojado de servicios gestionados" el 21 de noviembre. Expertos externos en ciberseguridad asistieron en la investigación, revelando que los actores de la amenaza infiltraron la red, inyectaron código malicioso y cifraron sistemas críticos.

El incidente causó interrupciones operativas, y se informó que Starbucks gestionó pagos de forma manual. Termite afirma poseer bases de datos, listas de correos electrónicos, documentos y registros de seguros. Blue Yonder declaró que está trabajando con empresas de ciberseguridad para abordar la violación, reforzar las defensas y apoyar a los clientes afectados.

If you are worried about any of the threats outlined in this bulletin or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager, or alternatively Get in touch to find out how you can protect your organisation. 

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.