Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Noticias de ciberseguridad

Nuestro servicio de Noticias de seguridad está alimentado por los feeds del Instituto Nacional de Ciberseguridad de España, S.A. (INCIBE) mediante un acuerdo de colaboración.

Logo de incibe

Subsidiaria de Toyota es víctima de fraude por email

Fecha de publicación: 06/09/2019

Toyota Boshoku Corporation, un fabricante de componentes para automóviles perteneciente al grupo Toyota Motor Corporation, anunció que una de sus subsidiarias europeas perdió más de 37 millones de dólares tras un ataque BEC (Business Email Compromise), comúnmente conocido como 'el fraude del CEO'.

En el comunicado oficial, la empresa comenta que se produjo un pago fraudulento a un tercero malicioso, que repercute en una pérdida financiera para la empresa subsidiaria en Europa.

En cuanto detectaron el fraude, lo pusieron en conocimiento de las autoridades locales para su investigación, establecieron un equipo legal para estudiar las acciones a tomar y, actualmente, están dirigiendo sus esfuerzos para recuperar el capital perdido.

Etiquetas: Cibercrimen, Incidente, Transporte

Descubierta una campaña de malware del grupo Stealth Falcon

Fecha de publicación: 09/09/2019

Investigadores de ESET, junto con investigaciones previas de Citizen Labs y Amnistía Internacional, han descubierto una campaña de difusión de un malware espía.

Se ha determinado que el responsable detrás de esta campaña es el grupo Stealth Falcon. Tras la investigación realizada, se han mostrado posibles vínculos con el grupo Project Raven, pudiendo llegar a ser ambos grupos el mismo.

El modus operandi de esta campaña era a través de un archivo adjunto malicioso recibido por correo electrónico. Una vez que este se ejecutaba en la máquina objetivo, el malware se instalaba y establecía una puerta trasera basada en PowerShell para comunicarse con el servidor de Comando y Control (CC).

La peculiaridad de este malware radica en el uso del Servicio de Transferencia Inteligente en Segundo Plano (BITS) de Windows, el cual permite ajustar la velocidad de transferencia según el ancho de banda disponible. Este tipo de servicio es comúnmente utilizado en programas diseñados para trabajar en segundo plano.

Etiquetas: Cibercrimen, Ciberespionaje, Malware, Windows

Acceso no autorizado a las cuentas de los usuarios de Foxit Software

Fecha de publicación: 30/08/2019

Foxit Software, empresa dedicada a la creación de productos, servicios y soluciones para gestionar documentos PDF, detectó un acceso no autorizado a las cuentas de los usuarios de su plataforma 'My account'.

Según lo publicado en su declaración oficial, la información que se ha visto comprometida contiene datos, como direcciones de correo electrónico, nombres de usuarios, contraseñas, números de teléfono, compañía y direcciones IP. Ninguna información bancaria ha sido expuesta, ya que en sus sistemas no almacenan ese tipo de información.

Como primera medida, la compañía revocó las credenciales de todas las cuentas implicadas, para posteriormente solicitar a los usuarios afectados un restablecimiento de las contraseñas. También ha establecido comunicaciones con los usuarios afectados, donde les han ofrecido pautas y asesoramiento para reducir al mínimo los riesgos. A su vez, el equipo de Foxit ha comenzado una investigación forense para determinar las causas de esta intrusión.

Etiquetas: Fuga de información, Incidente

Google desvela el funcionamiento de una campaña de malware en iOS

Fecha de publicación: 29/08/2019

A principios de 2019, el Grupo de Análisis de Amenazas (TAG) de Google notificó a Apple 14 vulnerabilidades que afectaban a dispositivos iPhone, desde las versiones 10 hasta la 12 de iOS. Estas vulnerabilidades fueron parcheadas en la actualización fuera de ciclo 12.1.4 de iOS el 7 de febrero de 2019.

Para infectarse bastaba con visitar algún sitio web comprometido, y desde el servidor web, se infectaba el dispositivo móvil e instalaba una herramienta de monitorización.

Tras analizarlo, Google ha publicado una serie de artículos explicando la magnitud y el funcionamiento de las 5 cadenas de exploits empleadas en esta campaña de malware. Estas afectaban a diferentes herramientas de software del sistema, habiendo 7 vulnerabilidades que afectaban al navegador de iPhone, cinco que afectaban al kernel y dos permitían omitir el sandbox. Siendo dos estas vulnerabilidades del tipo 0-day (CVE-2019-7287 y CVE-2019-7286).

Etiquetas: 0day, Apple, Google, Malware, Vulnerabilidad

Google mejora el Programa de Recompensas de Seguridad de Google Play Store

Fecha de publicación: 29/08/2019

En el año 2017, Google puso en marcha el Programa de Recompensas de Seguridad de Google Play Store (GPSRP) y, tres años después de su creación, acaban de anunciar una mejora en dicho programa.

Con miras a mejorar la seguridad en el entorno de Android, ahora el GPSRP, además de los propios programas desarrollados por Google, incluirá programas con más de 100.000.000 descargas alojados en la Google Play Store. Independientemente de si estos son programas de terceros.

Desde Google también han creado el Developer Data Protection Reward Program (DDPRP), un programa de recompensas en colaboración con HackerOne, en el que se trata de identificar y solucionar problemas de abusos de datos en aplicaciones Android, proyectos OAuth y extensiones de Chrome.

De este modo, Google apuesta por fomentar la seguridad en sus sistemas operativos, e insta a cualquier desarrollador o investigador en ciberseguridad a reportar las vulnerabilidades que encuentren. Las bonificaciones del GPSRP parten desde los 500 hasta los 20.000 dólares, dependiendo de la criticidad de la vulnerabilidad reportada.

Etiquetas: Android, Aplicación, Google, Malware, Vulnerabilidad

Brecha de seguridad en Imperva

Fecha de publicación: 27/08/2019

Imperva, proveedor de servicios de ciberseguridad, ha sufrido un incidente de seguridad permitiendo una exposición de información que ha afectado a su producto Cloud Web Application Firewall (WAF), anteriormente conocido como Incapsula.

Chris Hylen, CEO de la empresa, detalla en un comunicado oficial que, entre los datos expuestos de los clientes, se encuentran direcciones de correo electrónico, contraseñas, claves API y certificados SSL proporcionados por el cliente.

La compañía ha iniciado la investigación del incidente, informando a los clientes afectados, y recomienda tomar una serie de medidas, como es el cambio de contraseña de las cuentas, implementar Single Sign-On (inicio de sesión único), habilitar la autenticación de doble factor, resetear las claves API y generar y subir un nuevo certificado SSL.

Etiquetas: Cibercrimen, Fuga de información, Herramienta, Incidente

Hostinger, víctima de una fuga de información

Fecha de publicación: 25/08/2019

Hostinger, servicio de hosting y de dominios, tuvo que restablecer las contraseñas de 14 millones de usuarios como medida de protección tras sufrir un ciberataque que generó una fuga masiva de datos.

Según declaraciones de la empresa, los atacantes lograron acceder a uno de sus servidores que contenía un token de autorización, usándolo posteriormente para realizar una escalada de privilegios en el sistema.

Entre los datos privados a los que los atacantes han tenido acceso, se encuentran nombres de usuarios de clientes, correos electrónicos, contraseñas (aunque están hasheadas), nombres y direcciones IP, direcciones físicas y números de teléfono.

Una vez que se detectó el robo de datos, aislaron el servidor comprometido, y han restablecido todas las contraseñas de sus clientes, por lo que deberán cambiarlas obligatoriamente.

Etiquetas: Cibercrimen, Fuga de información, Herramienta, Incidente

El Banco Central Europeo cierra el portal BIRD tras ser comprometido.

Fecha de publicación: 15/08/2019

El Banco Central Europeo (BCE) informó, a través de un comunicado, de una brecha de seguridad producida en la web de su sistema BIRD (Banks Integrated Reporting Dictionary).

Los atacantes eludieron las medidas de seguridad del sitio web, alojado por un proveedor externo y separado del resto de la infraestructura, para inyectar malware, pudiendo haber obtenido direcciones de correo electrónico, datos de contacto y otra información como nombres y cargos de los 481 suscriptores del boletín BIRD.

El BCE se está poniendo en contacto con las personas afectadas y ha cerrado el portal hasta nuevo aviso.

Etiquetas: Fuga de información, Malware, Sector bancario

Ciberataque al sistema de pagos Oyster del transporte londinense

Fecha de publicación: 07/08/2019

Transport for London (TfL), organismo encargado del transporte público en la capital británica, reveló que algunas cuentas de tarjetas contactless de Oyster, el sistema de pago para el transporte, fueron accedidas por ciberatacantes no identificados.

El tipo de ataque utilizado se denomina relleno de credenciales (credential stuffing) y consiste en que, de manera automatizada, los atacantes obtengan acceso a las cuentas mediante pares de usuario-contraseña extraídas en alguna filtración, sacando partido a la mala práctica de reutilizar credenciales en diferentes sitios web.

En declaraciones al medio de comunicación The Register, un portavoz de TfL comentó que habían identificado unas 1200 cuentas accedidas ilícitamente, aunque los datos de pago no han sido expuestos. Como medida de precaución, han cerrado temporalmente las cuentas contactless y de Oyster, mientras mejoran la seguridad de la plataforma, y se han puesto en contacto con los usuarios afectados.

Etiquetas: Administración pública, Cibercrimen, Fuga de información, Herramienta, Transporte

Datos de Honda expuestos en servidores Elasticsearch

Fecha de publicación: 31/07/2019

El investigador Justin Paine, a través de una búsqueda en Shodan, descubrió una base de datos de Elasticsearch, perteneciente a Honda Motor Company, sin ningún tipo de medida de seguridad.

La información que contenía la base de datos estaba relacionada con la red interna y los equipos de la compañía, una especie de inventario de las máquinas internas de Honda. Entre los datos filtrados, se encontraban el hostname de la máquina, dirección MAC, IP interna, versión del sistema operativo y el estado del software de seguridad del endpoint de Honda.

Justin Paine contactó con el equipo de seguridad de la empresa para informarles de su descubrimiento y el personal de Honda, en un comunicado, le respondió informándole del rápido bloqueo al acceso a la base de datos. Según comentaron, no encontraron evidencias de accesos de terceros a información sensible.

Etiquetas: Fuga de información, Incidente, Transporte