Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Noticias de ciberseguridad

Nuestro servicio de Noticias de seguridad está alimentado por los feeds del Instituto Nacional de Ciberseguridad de España, S.A. (INCIBE) mediante un acuerdo de colaboración.

Logo de incibe

Fuga de datos personales de agentes del FBI

Fecha de publicación: 13/04/2019

Un grupo desconocido de ciberdelincuentes ha publicado los datos personales de unos 4.000 empleados de la Oficina Federal de Investigación (FBI) tras acceder a tres servidores web relacionados con ella.

A pesar de que los servidores atacados no estaban directamente relacionados con las oficinas centrales de la agencia, sino que correspondían a la FBINAA (FBI National Academy Associates), los datos publicados contenían información sobre nombres, direcciones de correo electrónico personales y gubernamentales, puestos de trabajo, números de teléfono y direcciones postales.

El FBI ha emitido un comunicado reconociendo el acceso no autorizado, a la vez que afirma que la base de datos atacada ya está asegurada.

Etiquetas: Administración pública, Cibercrimen, Fuga de información

Embajada asiática atacada por un sofisticado malware

Fecha de publicación: 10/04/2019

En otoño de 2018, Kaspersky descubrió el que puede ser el malware más completo conocido hasta este momento, que ha sido denominado TajMahal y dispone de 80 componentes distintos.

TajMahal es capaz de robar cookies, interceptar documentos de la cola de la impresora, recopilar datos sobre la víctima (incluidas las copias de seguridad de su dispositivo iOS); registrar o realizar capturas de pantalla de llamadas VoIP; robar las imágenes de disco óptico generadas por la víctima; indexar archivos, incluidos los de unidades externas, y robar archivos específicos cuando se detectan de nuevo.

La complejidad del malware le ha permitido estar oculto durante más de 5 años (algunos módulos datan de 2013 mientras que otros tienen fecha de 2018) y, aunque por el momento solo se conoce una víctima, una entidad diplomática de Asia Central, se cree que aparecerán muchas más.

Etiquetas: Herramienta, Incidente, Vulnerabilidad

El malware Triton compromete de nuevo una infraestructura crítica

Fecha de publicación: 10/04/2019

Expertos en ciberseguridad de la firma FireEye han publicado un informe explicando que el malware Triton ha sido utilizado de nuevo, después del ataque de 2017, para comprometer una instalación de infraestructura crítica, aún no revelada.

La amenaza está diseñada para explorar las redes del objetivo y sabotear sus Sistemas de Control Industrial, a menudo utilizados en centrales eléctricas y refinerías de petróleo y, de esta manera, obtener control en las operaciones de la instalación.

Además, la investigación señala que el malware llevaba latente alrededor de un año, durante el cual había estado estudiando la configuración de la red y cómo pivotar de un sistema a otro antes de lanzar el ataque.

Etiquetas: Cibercrimen, Energía, Industria química, Malware, Sistema de Control Industrial

La farmacéutica Bayer sufre un ciberataque

Fecha de publicación: 04/04/2019

Bayer, la mayor empresa farmacéutica de Alemania, ha sido objeto de un ciberataque por parte del grupo de ciberdelincuentes Wicked Panda que actúan desde China.

Andreas Rohr, empleado del grupo de ciberseguridad DCSO, ha especificado que el malware utilizado se denomina WINNTI. Éste permite acceder a un sistema de forma remota y, a partir de ahí, buscar nuevos exploits.

Un portavoz de la compañía ha declarado que no hay evidencia de robo de datos, ni siquiera de terceros, aunque el daño causado todavía está siendo evaluado, y los fiscales alemanes han iniciado una investigación.

Etiquetas: Cibercrimen, Incidente, Malware, Sanidad

La metalúrgica Norsk Hydro sufre un ciberataque de ransomware

Fecha de publicación: 19/03/2019

La empresa de metalurgia noruega Norsk Hydro ha sufrido, el 19 de marzo de 2019, un ataque de una variedad de ransomware denominada LockerGoga que cifra los ficheros en dispositivos Windows. Como consecuencia, tanto la red corporativa como los procesos de producción en varias instalaciones de Noruega, Qatar, Brasil y otros países, se vieron afectados.

Según ha declarado la compañía en sucesivas notas de prensa, el incidente ha generado pérdidas económicas de alrededor de 36 millones de euros, hasta el momento. Los equipos de seguridad y TI han aislado los sistemas infectados y han utilizado backups para recuperar la información.

Norsk Hydro, que tiene una póliza de ciberriresgos que debe cubrir parte de los daños, también anunció que en ningún momento tuvo intención de pagar el rescate.

Etiquetas: Cibercrimen, Incidente, Malware, Otras infraestructuras críticas

Herramienta de ASUS infectada por la Operación ShadowHammer

Fecha de publicación: 25/03/2019

Kaspersky Lab ha descubierto una nueva campaña de amenaza persistente avanzada (APT) que ha afectado a más de un millón de usuarios a través de un ataque a la cadena de suministro de un software de ASUS. La investigación reveló que los actores que están detrás de la amenaza llamada Operación ShadowHammer, se han dirigido a algunos usuarios de la utilidad de actualización preinstalada ASUS Live Update Utility, inyectando a través de este software una puerta trasera (backdoor) en sus equipos, al menos entre junio y noviembre de 2018.

El malware solo se ejecutaba en las máquinas cuya dirección MAC se encontrase en una lista de direcciones ubicada en el código. En total, Kaspersky ha encontrado alrededor de 600 direcciones MAC diferentes entre 200 muestras recopiladas del backdoor, aunque la lista podría ser mayor, y confirma que más de 57.000 clientes se vieron afectados.

ASUS ha publicado un comunicado oficial en el que ponen a disposición de los usuarios una nueva versión del software con mejoras de seguridad, además de una herramienta de diagnóstico para comprobar si los sistemas están afectados.

Etiquetas: APT, Herramienta, Malware, Vulnerabilidad

Facebook guarda accidentalmente contraseñas en texto plano

Fecha de publicación: 21/03/2019

Facebook ha informado que, por error, ha estado almacenando las contraseñas de sus usuarios en texto plano y, aunque no ha proporcionado detalles de este fallo, ha confirmado que se han visto afectados tanto usuarios de Facebook, como de Instagram.

En su comunicado también ha indicado que las contraseñas nunca han estado expuestas a Internet, que únicamente los empleados de Facebook han tenido acceso a ellas y que no han detectado usos ilícitos. Además, van a contactar con los usuarios afectados para informarles del problema.

Etiquetas: Incidente, Redes sociales

Expuestas credenciales de la plataforma Elsevier

Fecha de publicación: 18/03/2019

Mossab Hussein, CSO de la compañía de ciberseguridad SpiderSilk, ha encontrado un fallo en Elsevier, una editorial multimedia de publicaciones científicas. Una mala configuración en uno de sus servidores, expuso direcciones de correo electrónico y sus respectivas contraseñas en Internet.

Entre los usuarios afectados, se encuentran miembros de universidades e instituciones educativas de todo el mundo, la mayoría de ellos con cuentas ubicadas en dominios .edu. Los datos se mostraban a través de Kibana, una herramienta de visualización y clasificación.

Un portavoz de Elsevier, comentó al portal de noticias Motherboard que el problema se había solucionado, aunque continúan investigando cómo sucedió, y afirma, que han informado a la autoridad de protección de datos, además de notificar a los usuarios para que restablezcan sus cuentas.

Etiquetas: Fuga de información, Incidente

Detectada una campaña de spam que distribuye malware a través del correo electrónico

Fecha de publicación: 16/03/2019

Aprovechando la difusión de las noticias sobre los accidentes del Boeing 737 Max 8, se está llevando a cabo una nueva campaña de spam que distribuye malware a través de correo electrónico.

Los afectados reciben un correo con un asunto del tipo: 'Fwd: Airlines plane crash Boeing 737 Max 8'., El autor dice ser un analista privado que ha encontrado un documento en la Dark Web donde vienen recogidos fallos en otros aviones comerciales y un listado de otras compañías aéreas afectadas. Anima a descargar un adjunto con esa información. El adjunto es un fichero .jar que contiene un malware.

Especialistas de 360 Threat Intelligence Center han analizado el fichero y han descubierto que si un usuario lo ejecuta se instalará H-Worm Rat (una herramienta de acceso remoto) y el troyano Adwin, el cual roba información.

Etiquetas: Herramienta, Malware, Transporte

Hallada una vulnerabilidad en la plataforma de juegos Steam

Fecha de publicación: 15/03/2019

La plataforma de videojuegos Steam, perteneciente a la compañía Valve, permite a los jugadores la búsqueda de servidores de juego a través de un protocolo UDP específico para el cual se ha encontrado una vulnerabilidad del tipo desbordamiento de búfer. Esta vulnerabilidad permitiría la ejecución remota de código en el cliente de Steam, tomando el control de los ordenadores que accedan a servidores de juego maliciosos.

Para este fallo se ha desarrollado una prueba de concepto en Windows 8.1 y Windows 10 y se estima que también podría hacerse en GNU/Linux. No se ha podido detectar en OS X, ya que cierra el proceso al detectar el desbordamiento de búfer. Valve ha resuelto esta vulnerabilidad con una actualización automática del cliente Steam.

Etiquetas: Vulnerabilidad