Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Noticias de ciberseguridad

Nuestro servicio de Noticias de seguridad está alimentado por los feeds del Instituto Nacional de Ciberseguridad de España, S.A. (INCIBE) mediante un acuerdo de colaboración.

Logo de incibe

Informe de actividad del grupo Turla elaborado por la NSA y el NCSC

Fecha de publicación: 21/10/2019

La NSA (National Security Agency) de Estados Unidos y el NCSC (National Cyber Security Centre) de Reino Unido han publicado un aviso conjunto sobre la APT (Advanced Persistent Threat) del grupo Turla, también conocido como Snake, Uroburos, VENEMOUS BEAR, o Waterbug.

El aviso proporciona una actualización del informe del NCSC publicado en enero de 2018 sobre el uso, por parte de Turla, de las herramientas maliciosas Neuron, Nautilus y Snake para robar datos confidenciales.

Además, el comunicado afirma que Turla ha comprometido, y actualmente está explotando, la infraestructura y los recursos de un grupo iraní de APT 34, que incluyen las herramientas de Neuron y Nautilus. Según Symantec, APT 34 también son conocidos con los sobrenombres de HELIX, KITTEN y OilRig.

Etiquetas: Administración pública, APT, Cibercrimen, Ciberespionaje, Energía, Fuga de información, Otras infraestructuras críticas

Tres detenidos tras estafar 10 millones de euros mediante el fraude del CEO

Fecha de publicación: 22/10/2019

La Guardia Civil ha detenido a tres personas, y una cuarta está siendo investigada, por realizar estafas millonarias a 12 empresas extranjeras en la operación denominada Lavanco.

Las empresas afectadas, procedentes de Alemania, Bélgica, Bulgaria, Chile, Estados Unidos, Luxemburgo, Noruega, Portugal, Reino Unido y Venezuela, acumulan pérdidas monetarias, por este fraude, de 10.700.000 euros.

Los ciberdelincuentes realizaron la técnica basada en spear-phishing denominada fraude del CEO. Su modus operandi consistía en una suplantación de uno de los directivos de la empresa, a través de un correo electrónico especialmente elaborado con ese fin, en el cual solicitaban, con urgencia y discreción, una transferencia bancaria para llevar a término una supuesta transacción confidencial.

La operación Lavanco, con origen en Sarria e iniciada en 2016, ha sido dirigida por la Comandancia de Lugo, y se ha dispuesto con la colaboración de Europol e Interpol, incluyendo a cuerpos policiales extranjeros como FBI o BKA.

Etiquetas: Cibercrimen

NordVPN sufre un acceso no autorizado a un centro de datos

Fecha de publicación: 21/10/2019

NordVPN, proveedor de redes VPN, ha confirmado que sufrió un ciberataque en marzo de 2018 con el que se accedió sin autorización a uno de los centros de datos de un proveedor en Finlandia en el que tenían desplegado su servicio, habiéndose visto comprometidos ficheros de configuración, certificados y tres claves privadas.

El atacante explotó una vulnerabilidad del proveedor de servidores e interceptó las credenciales de usuario, aunque desde NordVPN aseguran que el servidor afectado no contenía información sensible.

El incidente también ha afectado a otros proveedores que utilizaban el mismo centro de datos, como VikingVPN y TorGuard. Este último ha emitido un comunicado en el que explica que no se ha visto afectado, ya que su clave CA principal estaba almacenada fuera del servidor vulnerado.

Etiquetas: Cibercrimen, Herramienta, Incidente, Vulnerabilidad

Avast-ek bere VPNaren aurkako zibereraso bat jasan du

Fecha de publicación: 21/10/2019

Avast, multinacional checa de software de ciberseguridad, ha reconocido en un comunicado haber sido víctima de una campaña de ciberespionaje, a la que han denominado Abiss, en la que se tuvo acceso a su red.

Avast descubrió que se produjeron varios intentos de intrusión con distintos nombres de usuario y contraseñas para acceder a su VPN interna. Según explican, se logró acceder a dicha VPN interna a través de un perfil VPN temporal que se mantuvo habilitado por error, y que no requería de autentificación en dos pasos a la hora de realizar la conexión.

Desde la compañía apuntan que su producto CCleaner pudo ser el principal objetivo del ciberataque, por lo que verificaron versiones anteriores de CCleaner y detuvieron las que se iban a publicar. Avast afirma que, tras las actualizaciones de seguridad enviadas, los usuarios están totalmente protegidos, y que continúan investigando esta campaña de ciberataques.

Etiquetas: Aplicación, Cibercrimen, Ciberespionaje

El ayuntamiento de Jerez de la Frontera es víctima de un ciberataque

Fecha de publicación: 02/10/2019

El gobierno local de la ciudad de Jerez de la Frontera ha sufrido un ciberataque de tipo ransomware que cifró los archivos alojados en más de 50 servidores informáticos, paralizando, de este modo, los servicios del propio ayuntamiento junto a otros servicios públicos dependientes de este. Varios equipos afectados mostraban mensajes donde reclamaban el pago de un rescate en bitcoins, para la recuperación del material secuestrado.

El consistorio ha informado que el ciberataque se ha realizado utilizando un troyano denominado Emotet, especializado en el robo de datos financieros, en combinación con Ryuk, que es el propio malware que cifró la información.

La alcaldesa de la ciudad, Mamen Sánchez, solicitó la colaboración de varios expertos del CCN (Centro Criptológico Nacional), un órgano dependiente del CNI (Centro Nacional de Inteligencia) quienes, tras una investigación in situ, confirmaron que no se produjo ninguna fuga de datos de los servidores.

Etiquetas: Administración pública, Cibercrimen, Cifrado, Criptomoneda, Incidente, Malware

La EMT de Valencia sufre la estafa del CEO

Fecha de publicación: 27/09/2019

El director gerente de la EMT (Empresa Municipal de Transportes) de Valencia, Josep Enric García Alemany, ha informado de la denuncia presentada ante la Policía Nacional por un supuesto fraude de 4 millones de euros, en el que está implicada la responsable del área de administración de la empresa.

La jefa de administración transfirió, durante el mes de septiembre, 4 millones de euros a una cuenta bancaria en Hong Kong, creyendo que participaba en una operación confidencial de la EMT, cuando en realidad estaba siendo una víctima de la conocida como estafa del CEO.

El director gerente ha declarado que la Policía Nacional continúa su investigación para esclarecer los hechos y ha destacado que están trabajando para recuperar todo lo que se ha defraudado.

Etiquetas: Administración pública, Cibercrimen, Incidente, Transporte

Filtración de datos de millones de ecuatorianos

Fecha de publicación: 16/09/2019

El equipo de expertos en ciberseguridad de vpnMentor, liderado por Noam Rotem y Ran Locar, descubrió una gran brecha de datos que afecta a millones de personas en Ecuador.

El origen de la fuga de información, que afecta a más de 20 millones de personas, se debía a un servidor desprotegido en Miami perteneciente a la compañía ecuatoriana Novaestrat, dedicada al análisis de datos y desarrollo de software, quienes obtuvieron la información de manera ilegal.

La cantidad de información filtrada asciende a 18 GB, y comprende datos entre los que destacan nombre completo, género, fecha y lugar de nacimiento, dirección particular, correo electrónico, teléfonos, estado civil o estudios.

La brecha fue reportada al EcuCERT, CERT de Ecuador, que sirvió como intermediario para solventar el problema.

Etiquetas: Administración pública, Cibercrimen, Fuga de información, Incidente

Subsidiaria de Toyota es víctima de fraude por email

Fecha de publicación: 06/09/2019

Toyota Boshoku Corporation, un fabricante de componentes para automóviles perteneciente al grupo Toyota Motor Corporation, anunció que una de sus subsidiarias europeas perdió más de 37 millones de dólares tras un ataque BEC (Business Email Compromise), comúnmente conocido como 'el fraude del CEO'.

En el comunicado oficial, la empresa comenta que se produjo un pago fraudulento a un tercero malicioso, que repercute en una pérdida financiera para la empresa subsidiaria en Europa.

En cuanto detectaron el fraude, lo pusieron en conocimiento de las autoridades locales para su investigación, establecieron un equipo legal para estudiar las acciones a tomar y, actualmente, están dirigiendo sus esfuerzos para recuperar el capital perdido.

Etiquetas: Cibercrimen, Incidente, Transporte

Descubierta una campaña de malware del grupo Stealth Falcon

Fecha de publicación: 09/09/2019

Investigadores de ESET, junto con investigaciones previas de Citizen Labs y Amnistía Internacional, han descubierto una campaña de difusión de un malware espía.

Se ha determinado que el responsable detrás de esta campaña es el grupo Stealth Falcon. Tras la investigación realizada, se han mostrado posibles vínculos con el grupo Project Raven, pudiendo llegar a ser ambos grupos el mismo.

El modus operandi de esta campaña era a través de un archivo adjunto malicioso recibido por correo electrónico. Una vez que este se ejecutaba en la máquina objetivo, el malware se instalaba y establecía una puerta trasera basada en PowerShell para comunicarse con el servidor de Comando y Control (CC).

La peculiaridad de este malware radica en el uso del Servicio de Transferencia Inteligente en Segundo Plano (BITS) de Windows, el cual permite ajustar la velocidad de transferencia según el ancho de banda disponible. Este tipo de servicio es comúnmente utilizado en programas diseñados para trabajar en segundo plano.

Etiquetas: Cibercrimen, Ciberespionaje, Malware, Windows

Acceso no autorizado a las cuentas de los usuarios de Foxit Software

Fecha de publicación: 30/08/2019

Foxit Software, empresa dedicada a la creación de productos, servicios y soluciones para gestionar documentos PDF, detectó un acceso no autorizado a las cuentas de los usuarios de su plataforma 'My account'.

Según lo publicado en su declaración oficial, la información que se ha visto comprometida contiene datos, como direcciones de correo electrónico, nombres de usuarios, contraseñas, números de teléfono, compañía y direcciones IP. Ninguna información bancaria ha sido expuesta, ya que en sus sistemas no almacenan ese tipo de información.

Como primera medida, la compañía revocó las credenciales de todas las cuentas implicadas, para posteriormente solicitar a los usuarios afectados un restablecimiento de las contraseñas. También ha establecido comunicaciones con los usuarios afectados, donde les han ofrecido pautas y asesoramiento para reducir al mínimo los riesgos. A su vez, el equipo de Foxit ha comenzado una investigación forense para determinar las causas de esta intrusión.

Etiquetas: Fuga de información, Incidente