Boletín semanal del CERT-SE v.30 – CERT-SE
Publicado: 2024-07-26 12:38
carta semanal
A raíz de las interrupciones de CrowdStrike, la compañía publicó un informe sobre lo sucedido. También se ha llamado la atención sobre cómo los atacantes utilizaron el incidente para difundir códigos maliciosos y realizar phishing.
Esta semana, CERT-SE publicó artículos sobre vulnerabilidades en productos de HPE, SolarWinds ARM e Ivanti Endpoint Manager.
noticias de la semana
El Registro de la Propiedad de Grecia sufre una oleada de 400 ciberataques (22 de julio)
https://www.bleepingcomputer.com/news/security/greeces-land-registry-agency-breached-in-wave-of-400-cyberattacks/
EEUU sanciona a hackers rusos que violaron las instalaciones de agua (22 jul)
https://www.bleepingcomputer.com/news/security/us-sanctions-russian-hacktivists-who-breached-water-facilities/
Vulnerabilidad de día cero en Telegram explotada mediante archivos de vídeo maliciosos (23 jul)
https://cybersecuritynews.com/telegram-zero-day-vulnerability-exploited/
Un nuevo malware para sistemas de control de sistemas saboteó los servicios de calentamiento de agua en Ucrania (23 de julio)
https://www.darkreading.com/ics-ot-security/novel-ics-malware-sabotagged-water-heating-services-in-ukraine
Los piratas informáticos amenazan con difundir información de los asegurados (23 de julio)
https://sverigesradio.se/artikel/hackare-hotar-sprida-forsakringstagares-uppgifter
Aumentan los temores de que se produzca un programa espía tras el ataque a otro eurodiputado (25 jul)
https://www.politico.eu/newsletter/brussels-playbook/orban-critic-mep-targeted-with-spyware/
Interrupciones en la plataforma CrowdStrike
La interrupción del servicio informático de CrowdStrike afectó a 8,5 millones de dispositivos Windows, según Microsoft (20 de julio)
https://www.bbc.com/news/articles/cpe3zgznwjno
Comienza una lenta recuperación tras una interrupción de TI mientras los expertos advierten sobre los riesgos futuros (20 jul)
https://www.theguardian.com/australia-news/article/2024/jul/19/microsoft-windows-pcs-outage-blue-screen-of-death
Los cibercriminales aprovechan un error en la actualización de CrowdStrike para distribuir el malware Remcos RAT (20 de julio)
https://thehackernews.com/2024/07/cybercriminals-exploit-crowdstrike.html
Un actor de amenazas utiliza un manual de recuperación falso de CrowdStrike para entregar un ladrón no identificado (22 de julio)
https://www.crowdstrike.com/blog/fake-recovery-manual-used-to-deliver-unidentified-stealer/
Lecciones de la reciente interrupción del funcionamiento de los sensores de Windows y Falcon: causas y posibles estrategias de mejora en Linux con código abierto (22 jul)
https://www.circl.lu/pub/learning-from-falcon-sensor-outage/
Revisión preliminar posterior al incidente (24 de julio)
https://www.crowdstrike.com/blog/falcon-content-update-preliminary-post-incident-report/
Informes y análisis
Mandiant: Los piratas informáticos norcoreanos atacan la sanidad y la energía (25 de julio)
https://www.govinfosecurity.com/mandiant-north-korean-hackers-targeting-healthcare-energy-a-25845
Tendencias de IR: el ransomware va en aumento, mientras que la tecnología se convierte en el sector más atacado (25 jul)
https://blog.talosintelligence.com/ir-trends-ransomware-on-the-rise-q2-2024/
El arranque seguro está completamente dañado en más de 200 modelos de 5 grandes fabricantes de dispositivos (25 de julio)
https://arstechnica.com/security/2024/07/secure-boot-is-completely-compromised-on-200-models-from-5-big-device-makers/
Evaluación de la amenaza de la delincuencia organizada en Internet (IOCTA) 2024 (26 de julio)
https://www.europol.europa.eu/publication-events/main-reports/internet-organised-crime-threat-assessment-iocta-2024
Seguridad de la información y mixta.
La NCA se infiltra en un sitio de DDoS contratado y arrestan a un sospechoso de ser su controlador en Irlanda del Norte (22 de julio)
https://therecord.media/ddos-for-hire-site-digitalstress-takedown-arrest-uk-nca
Los municipios se ven afectados cuando la Catastro cerró sus servicios digitales tras la supuesta filtración de defensa (23 de julio)
https://www.svt.se/nyheter/lokalt/sormland/kommuner-drabbas-nar-lantmateriet-stangt-sina-digitala-tjanster-efter-misstankta-forsvarslackan
Las mujeres en seguridad informática carecen de oportunidades, pero no de talento (23 jul)
https://www.itprotoday.com/it-security/women-in-it-security-lack-opportunities-not-talent
Cómo un falso trabajador informático norcoreano intentó infiltrarse en nuestro país (23 de julio)
https://blog.knowbe4.com/how-a-north-korean-fake-it-worker-tried-to-infiltrate-us
Para su información: Es posible que los datos de los repositorios de GitHub eliminados no se eliminen realmente (25 de julio)
https://www.theregister.com/2024/07/25/data_from_deleted_github_repos/
CERT-SE esta semana
Vulnerabilidad crítica en Ivanti Endpoint Manager para dispositivos móviles (22 de julio)
https://www.cert.se/2024/07/kritisk-sarbarhet-i-ivanti-endpoint-manager-for-mobile.html
Vulnerabilidades críticas en ARM de Solarwind (22 de julio)
https://www.cert.se/2024/07/kritiska-sarbarheter-i-solarwinds-arm.html
Vulnerabilidad crítica en Citrix Netscaler ADC y Netscaler Gateway (actualizado) (23 de julio)
https://www.cert.se/2024/01/kritisk-sarbarhet-i-citrix-netscaler-adc-och-netscaler-gateway.html
Una vulnerabilidad crítica afecta a varios productos HPE (24 de julio)
https://www.cert.se/2024/07/kritisk-sarbarhet-drabbar-flera-produkter-fran-hpe.html
Una interrupción grave de CrowdStrike afecta los entornos de TI de muchas organizaciones (actualizado) (25 de julio)
https://www.cert.se/2024/07/allvarliga-storningar-i-crowdstrike-paverkar-manga-organisationers-it-miljoer.html