Ataque de ransomware a Tata Technologies

Tata Technologies, una filial de la multinacional india Tata, ha sido supuestamente víctima del grupo de ransomware Hunters International. Los atacantes afirman haber robado 1,4 TB de datos—más de 730.000 archivos—y amenazan con publicarlos el próximo lunes si no se paga un rescate. Sin embargo, aún no han revelado la cantidad exigida ni han proporcionado pruebas del robo de datos.

Tata Technologies, una empresa de ingeniería de productos bajo Tata Motors, ya había informado sobre un incidente de ransomware en enero. Desde entonces, ha restablecido sus servicios de TI y asegura que las operaciones de sus clientes no se han visto afectadas.

Hunters International, considerado una reencarnación del infame grupo Hive, tiene un historial de ataques a grandes organizaciones, incluida la Industrial and Commercial Bank of China. En 2022, Hive atacó a Tata Power, filtrando datos robados después de que no se pagara el rescate.

Este ataque resalta las continuas amenazas cibernéticas contra empresas globales y subraya la necesidad de medidas de seguridad más sólidas.

Se profundizan los vínculos entre los ransomware Black Basta y Cactus

Nuevas investigaciones han revelado vínculos más estrechos entre los grupos de ransomware Black Basta y Cactus, ya que ambos utilizan las mismas técnicas de ingeniería social y el malware proxy BackConnect para acceder a los sistemas comprometidos.

BackConnect, una herramienta proxy para ocultar el tráfico y eludir la detección, se vinculó inicialmente a Black Basta a través de su conexión con Zloader y Qbot. Sin embargo, una reciente filtración de datos expuso conversaciones internas entre el líder de Black Basta y un presunto desarrollador de Qbot, reforzando la conexión.

El último informe de Trend Micro ahora vincula Cactus ransomware con BackConnect, lo que sugiere una posible superposición de miembros entre ambos grupos. Se ha observado que los dos grupos envían oleadas de correos electrónicos antes de suplantar al equipo de soporte de TI a través de Microsoft Teams para obtener acceso remoto.

Históricamente, Black Basta ha utilizado Qbot para ingresar a redes corporativas, pero tras el derribo de Qbot en 2023 por parte de las fuerzas del orden, el grupo ha cambiado a BackConnect, lo que sugiere que sigue colaborando con los mismos desarrolladores de malware.

Nuevo botnet Eleven11bot infecta más de 86.000 dispositivos IoT

Un nuevo malware botnet, llamado Eleven11bot, ha infectado más de 86.000 dispositivos IoT, en su mayoría cámaras de seguridad y grabadores de video en red (NVRs), para lanzar ataques DDoS a gran escala. El botnet, potencialmente vinculado a Irán, ya ha atacado proveedores de telecomunicaciones y servidores de videojuegos en línea.

Descubierto por investigadores de Nokia, Eleven11bot ha crecido rápidamente, con The Shadowserver Foundation confirmando infecciones en EE.UU., Reino Unido, México, Canadá y Australia. Los ataques han alcanzado volúmenes de cientos de millones de paquetes por segundo, con una duración de varios días.

GreyNoise y Censys han rastreado 1.400 direcciones IP asociadas con el botnet, con un 96% provenientes de dispositivos reales. La mayoría de las direcciones IP están ubicadas en Irán, con cientos de ellas marcadas como maliciosas. El malware se propaga mediante fuerza bruta contra credenciales de administrador débiles y explorando redes en busca de puertos Telnet y SSH expuestos.

Los expertos recomiendan bloquear las direcciones IP maliciosas conocidas, desactivar el acceso remoto innecesario, actualizar el firmware y reemplazar dispositivos IoT obsoletos para mitigar el riesgo.

El gobierno del Reino Unido propone un nuevo código de seguridad para software

El gobierno del Reino Unido está desarrollando un código de buenas prácticas para mejorar la seguridad del software y la resiliencia de la cadena de suministro digital. Tras la publicación de la Call for Views on Software Resilience and Security en enero de 2024, se espera que el código final sea publicado en 2025.

Las medidas voluntarias establecerán un estándar mínimo de seguridad para los proveedores de software, garantizando una mayor coherencia en el desarrollo, distribución y mantenimiento. El National Cyber Security Centre (NCSC) y el Department for Science, Innovation and Technology (DSIT) refinarán los controles técnicos y las pautas de implementación antes de la publicación.

Para fomentar la adopción, se introducirá un método de certificación y un régimen de garantía, permitiendo a los proveedores demostrar su cumplimiento mediante el Enfoque de Garantía Basado en Principios del NCSC. El gobierno también mapeará el código en relación con los estándares y marcos de seguridad existentes.

La diputada Feryal Clark enfatizó la importancia de la seguridad del software, advirtiendo que un software comprometido puede interrumpir operaciones empresariales y exponer a las organizaciones a amenazas cibernéticas.

Nueva campaña de phishing apunta al sector aéreo de Emiratos Árabes Unidos

Los detectores de amenazas han descubierto una campaña de phishing altamente dirigida contra menos de cinco entidades en Emiratos Árabes Unidos (E.A.U.), entregando un backdoor en Golang previamente desconocido, llamado Sosano.

Identificada como UNK_CraftyCamel por Proofpoint, la campaña tuvo como objetivo a organizaciones de aviación y comunicaciones por satélite. Los atacantes comprometieron la cuenta de correo electrónico de una empresa electrónica india, enviando correos de phishing con archivos ZIP maliciosos. Estos archivos contenían documentos PDF y XLS poliglotos, que finalmente instalaron el backdoor Sosano.

Sosano permite a los atacantes modificar directorios, listar archivos, descargar cargas útiles, ejecutar comandos y eliminar carpetas. Proofpoint no encontró superposiciones con grupos de amenazas conocidos, pero sugiere que un grupo alineado con Irán, posiblemente vinculado al Cuerpo de la Guardia Revolucionaria Islámica (IRGC), organizó el ataque.

Esta operación destaca la sofisticación de los actores estatales, que emplean compromisos de terceros de confianza y técnicas de ofuscación para evadir la detección y atacar infraestructuras críticas en E.A.U.

If you are worried about any of the threats outlined in this bulletin or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager, or alternatively Get in touch to find out how you can protect your organisation. 

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.