Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Noticias de ciberseguridad

Nuestro servicio de Noticias de seguridad está alimentado por los feeds del Instituto Nacional de Ciberseguridad de España, S.A. (INCIBE) mediante un acuerdo de colaboración.

Logo de incibe

El nuevo malware Silex bloquea los dispositivos IoT

Fecha de publicación: 25/06/2019

Un nuevo malware denominado Silex, ya ha atacado con éxito a más de 2.000 dispositivos IoT en poco más de 4 horas.

El investigador Larry Cashdollar, de Akamai, fue el primero que descubrió este malware. Una vez infectado el dispositivo, Silex elimina el firmware, los datos de almacenamiento, las reglas del firewall, las configuraciones de red y por último detiene el funcionamiento del dispositivo.

Las investigaciones realizadas apuntan a que el creador de este malware es un joven de 14 años apodado Light Leafon, conocido por haber sido el creador de la botnet IoT HITO. Light Leafon ha declarado que Silex comenzó como una broma, pero ahora se ha convertido en un proyecto a tiempo completo y va a añadirle más funcionalidades.

Etiquetas: IoT, Malware

Ransomware obliga a cerrar las fábricas de ASCO

Fecha de publicación: 11/06/2019

ASCO, compañía belga que se dedica a la fabricación de componentes para aviones, tanto militares como comerciales, fue víctima de un ataque de ransomware el día 7 de junio.

La compañía ha emitido un comunicado donde explican que están investigando lo sucedido y como medida de precaución detuvieron la producción en todas sus plantas de Bélgica, Canadá, Estados Unidos y Alemania. Parece ser que la infección se originó en Zaventem, Bélgica. Por otra parte, las oficinas de Francia y Brasil no se han visto afectadas. La empresa no ha dado más detalles sobre el incidente.

Etiquetas: Incidente, Malware

Operación conjunta ante el cierre del ransomware GandCrab

Fecha de publicación: 10/06/2019

Los ciberdelincuentes responsables de GandCrab, un ransomware surgido en enero de 2018 que ha reportado numerosos ingresos económicos a sus creadores, especialmente debido a su faceta de RaaS (Ransomware as a Service), han anunciado el cese de sus operaciones en un breve espacio de tiempo.

En su mensaje de despedida, instaban a las víctimas a pagar el rescate lo antes posible para recuperar el contenido de los archivos cifrados, ya que resultaría imposible descifrarlos cuando cerrasen los servidores, debido a que tenían la intención de eliminar todas las claves privadas.

Bitdefender, junto con la Europol, el FBI y otros organismos de seguridad, han conseguido tomar el control del servidor CC de GandCrab antes de que fuese cerrado y, con ello, han logrado descargar las claves privadas de las víctimas. Bitdefender ha publicado una herramienta de descifrado para que todos los afectados puedan recuperar sus archivos de forma gratuita.

Etiquetas: Cibercrimen, Cifrado, Incidente, Malware

Emuparadise víctima de una fuga de información

Fecha de publicación: 10/06/2019

El sitio web Emuparadise, punto de encuentro sobre videojuegos retro, ha sido víctima de una fuga de información que afecta 1,1 millones de usuario.

El incidente tuvo lugar el 1 de abril de 2018, y afectó a los datos de los usuarios del foro, donde se han visto comprometidas las cuentas de correo electrónico, direcciones IP, nombres de usuario y los hashes MD5 de contraseñas.

Desde Emuparadise reportan que han tomado las medidas necesarias: restablecieron las contraseñas de usuario y realizaron una auditoría de seguridad, tras la cual han corregido el problema. Recomiendan cambiar la contraseña en todos los servicios en los que se haya utilizado.

Etiquetas: Fuga de información, Incidente

Google confirma la existencia de un backdoor preinstalado en dispositivos Android

Fecha de publicación: 06/06/2019

Google ha descubierto un sofisticado malware, denominado Triada, que venía preinstalado en algunos dispositivos Android. Al parecer, Triada se había incluido en las imágenes del sistema como un código de terceros, y este utilizaba funciones adicionales solicitadas por los OEM (Original Equipment Manufacture).

Gracias a las continuas y exhaustivas revisiones de seguridad de las imágenes del sistema de los dispositivos Android, y trabajando conjuntamente con los OEM, se eliminó un porcentaje muy elevado de esta amenaza mediante actualizaciones automáticas realizadas vía OTA (Over The Air).

Etiquetas: Android, Internet, Malware

Los servidores Windows RDP en el punto de mira de la botnet GoldBrute

Fecha de publicación: 06/06/2019

El investigador en ciberseguridad Renato Marinho, de Morphus Labs, ha descubierto una nueva botnet que emplea un ataque por fuerza bruta contra 1,5 millones de servidores públicos Windows RDP (Remote Desktop Protocol).

Esta campaña, bautizada como GoldBrute, comienza realizando un ataque por fuerza bruta contra un servidor RDP. Una vez conseguido el acceso despliega un malware basado en Java encargado de comunicarse con el único servidor de Comando y Control (CC). Las máquinas infectadas, tienen como primera tarea escanear la red y enviar al servidor de CC un listado de, al menos, 80 nuevos servidores RDP accesibles que puedan ser vulnerables. Después, comienza la fase de ataque por fuerza bruta en la que el malware recibe y ataca de manera continuada combinaciones de 'host usuario contraseña' contra los objetivos. En los casos de éxito, la maquina infectada devuelve las credenciales de acceso al servidor de CC.

Etiquetas: Botnet, Cibercrimen, Malware, Windows

Fuga de información en AMCA afecta a múltiples laboratorios médicos

Fecha de publicación: 03/06/2019

Varios laboratorios de pruebas han denunciado ser víctimas de una brecha se seguridad sufrida por AMCA (American Medical Collections Agency), una agencia estadounidense que actúa como gestor de cobros.

Las firmas afectadas, Quest Diagnostics, LabCorp y BioReference Laboratories, han reportado la fuga de información de datos de sus clientes debido a un acceso no autorizado. En concreto, han sido 12, 7,7 y 20 millones de usuarios cuya información ha sido expuesta respectivamente, entre la que se encuentran datos financieros, números del seguro social (Social Security Number, SSN) e información médica.

Jennifer Kaid, una portavoz de ACMA, ha declarado en un comunicado que están investigando el incidente a través de una empresa de análisis forense externa, han migrado sus servicios del portal web de pagos a un proveedor externo y han informado a las autoridades policiales de lo sucedido.

Etiquetas: Fuga de información, Incidente, Sanidad

Flipboard sufrió una brecha de seguridad durante 9 meses

Fecha de publicación: 28/05/2019

Flipboard ha publicado un comunicado en el que explica que ha identificado y solucionado un incidente de seguridad que ha afectado a los datos de sus usuarios. Indican que detectaron accesos no autorizados en algunas de sus bases de datos, las cuales contenían información de sus usuarios, y que la intrusión se produjo entre el 2 de junio de 2018 y el 23 de marzo de 2019, y los días 21 y 22 de abril de 2019.

Las bases de datos contenían información como: el nombre, nombre de usuario de Flipboard, contraseña cifrada mediante la técnica salted hashing y la dirección de correo electrónico.

Como medidas de seguridad, Flipboard ha restablecido todas las contraseñas de los usuarios, ha desconectado los tokens que servían para conectar a cuentas de terceros, y han eliminado tokens digitales donde lo han creído oportuno. También han implementado mejoras en las medidas de seguridad.

Etiquetas: Fuga de información, Incidente, Redes sociales

Miles de servidores MS-SQL y PHPMyAdmin infectados en la campaña Nansh0u

Fecha de publicación: 04/06/2019

Expertos de Guardicore Labs, una empresa de investigación en ciberseguridad, publicaron el pasado 29 de mayo un amplio informe, detallando una campaña de cryptojacking, denominada Nansh0u, que atacaba a servidores MS-SQL (Windows) y PHPMyAdmin.

Guardicore Labs, que detectó la campaña inicialmente en abril, cree que el malware habría infectado hasta 50.000 servidores. El ataque utilizado se basa en la técnica de fuerza bruta contra los servidores de acceso público mediante un escaneo de puertos. Posteriormente, se descarga y ejecuta una carga útil (payload) que instala un malware en servidores comprometidos para minar la criptomoneda TurtleCoin.

La compañía recomienda a las organizaciones que protejan sus activos con credenciales robustas y soluciones de segmentación de red.

Etiquetas: Cibercrimen, Criptomoneda, Malware

El sitio web Canva, víctima de una brecha de seguridad

Fecha de publicación: 24/05/2019

Canva, un sitio web de herramientas de diseño gráfico y composición de imágenes, ha sufrido una brecha de seguridad que ha expuesto datos de 139 millones de usuarios. La intrusión se detectó el 24 de mayo, pero al parecer el ciberdelincuente habría estado recopilando datos desde, al menos, el 17 de mayo.

Los datos recopilados por el atacante contenían información tanto de carácter personal, como privado, entre los que se encontraban: nombre de usuario, nombre real, correo electrónico, información de residencia y los hashes de las contraseñas de 61 millones de usuarios, aunque estos utilizan el algoritmo bcrypt. De algunos usuarios, también obtuvo los tokens de Google utilizados para registrarse sin necesidad de contraseña.

Canva ha indicado en un comunicado que se han puesto en contacto con los usuarios afectados y, aunque en principio aseguran que la contraseña es segura, recomiendan cambiarla.

Etiquetas: Fuga de información, Incidente