Hackers chinos violan el Tesoro de EE. UU. en un sofisticado ataque cibernético

Hackers patrocinados por el estado chino se infiltraron en el Departamento del Tesoro de EE. UU. a principios de este mes, accediendo a varias estaciones de trabajo de empleados y documentos no clasificados. La brecha explotó una vulnerabilidad en BeyondTrust, un proveedor de seguridad informática de terceros, que permitió a los atacantes anular partes del sistema. El Departamento del Tesoro confirmó que el servicio comprometido fue desactivado y que no hay evidencia de accesos continuos. Sin embargo, este ataque coincide con otra brecha separada, denominada "Salt Typhoon," que afectó a tres de las principales compañías de telecomunicaciones de EE. UU., donde los hackers accedieron a llamadas y mensajes de legisladores. Tras la alerta de BeyondTrust, el Tesoro involucró a la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), al FBI y a expertos forenses para evaluar el impacto. Se espera un informe completo dentro de 30 días. BeyondTrust reconoció la compromisión de una clave digital que afectó a un número limitado de clientes, mientras que la embajada de China en Washington negó su participación, acusando a EE. UU. de acusaciones infundadas. El Tesoro reiteró su compromiso de proteger los sistemas financieros.

Hackers prorrusos atacan sitios web de ciudades francesas en represalia por el apoyo a Ucrania

Los sitios web de varias ciudades francesas, incluidas Marsella y Tarbes, fueron desactivados el martes tras ataques cibernéticos del grupo de hackers prorrusos NoName. El colectivo reivindicó los ataques en la plataforma social X, calificándolos de represalia por el apoyo de Francia a Ucrania. A las 16:00 GMT, los sitios afectados también incluían el departamento de Alta Garona, aunque otras ubicaciones objetivo, como Nantes, Burdeos y Niza, permanecieron operativas. El ayuntamiento de Marsella confirmó los ataques, declarando que se activaron medidas de protección, haciendo que los sitios fueran temporalmente inaccesibles. NoName, conocido por su uso de ataques de Denegación de Servicio Distribuida (DDoS), saturó los servidores con tráfico excesivo para deshabilitar el acceso. Estos ataques generalmente no implican el robo de datos, pero buscan difundir propaganda y crear una impresión de inseguridad digital, según Benoit Grunemwald, experto en seguridad informática de ESET. Las autoridades francesas minimizaron el impacto, y algunas ciudades informaron la ausencia de alteraciones.

Ataque cibernético interrumpe los sistemas informáticos de Thomas Cook India

La infraestructura informática de Thomas Cook India enfrentó un ataque cibernético, lo que obligó a la compañía a desactivar los sistemas afectados, según un documento presentado el martes. La empresa inició de inmediato investigaciones y está colaborando con los principales expertos en seguridad cibernética para evaluar el alcance de la brecha e implementar medidas correctivas. El documento declaró: "Hemos tomado las medidas necesarias para investigar y responder al incidente, incluida la desactivación de los sistemas comprometidos." Según el Reglamento III de Sebi (Obligaciones de Cotización y Requisitos de Divulgación), 2015, las empresas cotizadas deben divulgar ataques cibernéticos significativos que afecten operaciones, finanzas o reputación dentro de 24 horas. La divulgación de Thomas Cook India refleja el cumplimiento de estas regulaciones para garantizar transparencia y proteger la confianza de los inversores. La empresa continúa enfocándose en los esfuerzos de contención asegurando sus sistemas informáticos e involucrando a las partes interesadas. Los expertos en seguridad cibernética enfatizan la importancia de acciones rápidas para minimizar los riesgos operativos y reputacionales en tales incidentes.

Cisco confirma datos filtrados de la brecha en DevHub; sin compromisión del sistema

Cisco ha confirmado la autenticidad de los datos filtrados por el hacker "IntelBroker," originados de un incidente de seguridad previamente divulgado que involucró a su DevHub accesible al público. El DevHub servía como un centro de recursos para los clientes, ofreciendo código fuente, scripts y otros materiales. IntelBroker anunció el 14 de octubre que él y otros accedieron a los sistemas de Cisco, robando código fuente, certificados, credenciales y otra información sensible. Sin embargo, la investigación de Cisco reveló que los sistemas no fueron comprometidos; los datos fueron extraídos del entorno DevHub. Aunque gran parte de los datos ya eran públicos, Cisco reconoció que algunos archivos no debían estar accesibles. El hacker inicialmente afirmó haber robado 4,5 TB de datos, pero hasta ahora ha filtrado aproximadamente 7 GB, incluyendo código fuente, scripts y archivos de configuración. Cisco mantiene que las filtraciones se alinean con el conjunto de datos conocido de octubre y no proporcionan acceso a sus entornos de producción o empresariales. La empresa continúa monitoreando la situación.

If you are worried about any of the threats outlined in this bulletin or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager, or alternatively Get in touch to find out how you can protect your organisation. 

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.