Resumen de ciberseguridad de mayo de 2024

Hackers vinculados a China atacan a expertos estadounidenses en inteligencia artificial con el malware SugarGh0st 

Los investigadores de Proofpoint han descubierto una campaña muy específica por parte de un presunto actor de amenazas chino, denominado "UNK_SweetSpecter", destinada a robar información de expertos en inteligencia artificial en los Estados Unidos. Los atacantes utilizaron una variante personalizada del famoso malware Gh0st RAT, llamado SugarGh0st, para infectar los sistemas de un grupo selecto de personas asociadas con una organización líder en inteligencia artificial con sede en EE. UU.  La campaña, que surgió en mayo de 2024, incluía correos electrónicos de phishing con temas de IA que contenían un archivo ZIP malicioso. Una vez ejecutado, el malware estableció comunicación con un servidor de comando y control controlado por el atacante, lo que potencialmente permitió a los piratas informáticos filtrar datos confidenciales relacionados con las tecnologías de inteligencia artificial generativa.  Proofpoint sugiere que esta campaña puede ser una respuesta a los recientes esfuerzos del gobierno estadounidense para restringir el acceso chino a las tecnologías de IA generativa. La naturaleza selectiva del ataque y su enfoque en expertos en IA indican que el objetivo del actor de la amenaza probablemente era obtener información no pública sobre la inteligencia artificial generativa para promover los objetivos de desarrollo de China en este campo. 
Perspectivas de SSL.com: Para protegerse contra amenazas cibernéticas sofisticadas como la campaña SugarGh0st RAT, las organizaciones deben mejorar sus protocolos de seguridad de correo electrónico empleando filtros avanzados que examinen los archivos adjuntos y enlaces en busca de amenazas potenciales, especialmente en comunicaciones que solicitar técnico ayuda o pretenden abordar problemas de software. También es imperativo educar a los expertos en inteligencia artificial y a otro personal de alto riesgo sobre los detalles específicos de los ataques de phishing dirigidos, asegurándose de que sean expertos en reconocer y manejar correos electrónicos sospechosos. Implementar software que monitores El uso no autorizado de herramientas administrativas y comunicaciones externas inesperadas puede proteger aún más la información confidencial para que no se vea comprometida. SSL.com's S/MIME Los certificados proporcionan una sólida capa de seguridad al garantizar la autenticidad e integridad de los correos electrónicos, lo cual es vital para evitar que los atacantes se hagan pasar por fuentes legítimas, y al cifrar el contenido del correo electrónico, protegen la información confidencial del acceso no autorizado incluso si se produce una infracción. 

Asegure sus correos electrónicos ahora  

Protégete

CISA advierte sobre una falla activamente explotada en NextGen Healthcare Mirth Connect 

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha emitido una advertencia urgente sobre una vulnerabilidad de seguridad crítica en NextGen Healthcare Mirth Connect, una plataforma de integración de datos de código abierto ampliamente utilizada en la industria de la salud. La falla, identificada como CVE-2023-43208, permite la ejecución remota de código no autenticado y se cree que se explota activamente en la naturaleza.  La vulnerabilidad surge de un parche incompleto para otra falla crítica, CVE-2023-37679, y está relacionada con el uso inseguro de la biblioteca Java XStream para descomponer cargas útiles XML. Los investigadores de Horizon3.ai revelaron por primera vez la vulnerabilidad en octubre de 2023, con detalles técnicos adicionales y un exploit de prueba de concepto lanzado en enero de 2024.  CISA ha agregado CVE-2023-43208 a su catálogo de vulnerabilidades explotadas conocidas (KEV), lo que exige a las agencias federales que actualicen sus sistemas a la versión 4.4.1 o posterior de Mirth Connect antes del 10 de junio de 2024. Aunque la agencia no ha proporcionado detalles sobre las vulnerabilidades en curso ataques, la falla se considera fácilmente explotable y representa un riesgo significativo para las organizaciones de atención médica.  Además de la vulnerabilidad Mirth Connect, CISA también ha agregado un error de confusión de tipos recientemente revelado que afecta a Google Chrome (CVE-2024-4947) al catálogo KEV, ya que Google ha reconocido que se puede explotar en ataques del mundo real. 
Perspectivas de SSL.com: La reciente incorporación de NextGen Healthcare Mirth Conectar La vulnerabilidad al catálogo de vulnerabilidades explotadas conocidas de CISA significa un desarrollo crítico en ciberseguridad, destacando las crecientes amenazas que enfrentan los sistemas de datos de atención médica. Las organizaciones deben priorizar la implementación rápida de actualizaciones y parches para dichas vulnerabilidades para proteger los datos confidenciales de atención médica del acceso no autorizado y la posible explotación. Como proveedor líder de certificados digitales, SSL.com enfatiza la necesidad de implementar medidas de cifrado sólidas y emplear certificados digitales para garantizar la integridad de los datos y canales de comunicación seguros, reforzando así las defensas contra amenazas cibernéticas tan sofisticadas.

Ciudad de Wichita blanco de ataque de ransomware de fin de semana 

La ciudad de Wichita, Kansas, la ciudad más grande del estado y una de las 50 ciudades más grandes de los Estados Unidos, reveló que fue afectada por un ataque de ransomware durante el fin de semana. El incidente, que ocurrió el domingo 5 de mayo, obligó a la ciudad a cerrar partes de su red para evitar la propagación del ransomware a otros dispositivos.  En una medida inusualmente transparente, la Ciudad confirmó el ataque en su sitio web, afirmando que se está llevando a cabo una revisión y evaluación exhaustiva del incidente, incluido el impacto potencial en los datos. Como resultado del ataque, los sistemas de pago en línea de la ciudad, incluidos aquellos para pagar facturas de agua y citaciones y multas judiciales, están actualmente fuera de línea.  Si bien la ciudad no ha revelado la identidad de la banda de ransomware responsable del ataque, han informado del incidente a las agencias policiales locales y federales, que están ayudando en la respuesta. Aún no se sabe si se ha robado algún dato, aunque es común que las bandas de ransomware exfiltren datos de las redes comprometidas durante días o incluso semanas antes de implementar sus cifradores.  A pesar del ataque, el Ciudad ha asegurado a los residentes que los socorristas, incluidos los departamentos de policía y bomberos, todavía están brindando servicios, habiendo cambiado a medidas de continuidad del negocio cuando fue necesario. 
Perspectivas de SSL.com: En respuesta a la creciente amenaza de ataques de ransomware, como lo ejemplificó el reciente incidente en Wichita, las organizaciones deben mejorar la seguridad de su red implementando fuertes controles de acceso y segmentando las redes para limitar la propagación de dichos ataques. Garantizar que los sistemas sensibles estén aislados y que el acceso a la infraestructura crítica se otorgue solo después de la autenticación multifactor puede reducir drásticamente el impacto del ransomware. Las copias de seguridad programadas periódicamente y la capacidad de restaurar rápidamente los sistemas también son cruciales para la recuperación después de un ataque, minimizando el tiempo de inactividad y la posibilidad de pérdida de datos. SSL.com's Los certificados de autenticación de cliente refuerzan estas medidas de seguridad al proporcionar un método para autenticar usuarios y dispositivos, garantizando que solo el personal autorizado pueda acceder a sistemas y datos críticos, lo cual es vital para evitar el acceso no autorizado que podría conducir a la implementación de ransomware.

Fortalecer Infraestructura crítica Deportacions  

Activar protección

Black Basta Ransomware se dirige a más de 500 organizaciones en todo el mundo 

La operación Black Basta ransomware-as-a-service (RaaS) se ha dirigido a más de 500 entidades de la industria privada y de infraestructura crítica en América del Norte, Europa y Australia desde su aparición en abril de 2022, según un aviso conjunto publicado por CISA y el FBI. , HHS y MS-ISAC.  Los actores de amenazas detrás de Black Basta han cifrado y robado datos de al menos 12 de 16 sectores de infraestructura críticos, empleando un modelo de doble extorsión. Los afiliados del grupo utilizan técnicas comunes de acceso inicial, como phishing y explotación de vulnerabilidades conocidas, y proporcionan a las víctimas un código único para contactarlas a través de una URL .onion para recibir instrucciones de pago del rescate.  Black Basta ha estado vinculado a 28 de los 373 ataques de ransomware confirmados en abril de 2024 y fue testigo de un aumento del 41 % en su actividad trimestre tras trimestre en el primer trimestre de 1. Se cree que el grupo tiene vínculos con el grupo de ciberdelincuencia FIN2024.  El panorama del ransomware está experimentando cambios, con una disminución del 18% en la actividad en el primer trimestre de 1 en comparación con el trimestre anterior, principalmente debido a las operaciones policiales contra ALPHV (también conocido como BlackCat) y LockBit. En las últimas semanas también han surgido nuevos grupos de ransomware, como APT2024, DoNex, DragonForce, Hunt, KageNoHitobito, Megazord, Qiulong, Rincrypt y Shinra.  A pesar de la disminución general de la actividad de ransomware, el pago promedio de rescate se ha multiplicado por cinco durante el último año, de 5 dólares a 400,000 millones de dólares, según una encuesta de Sophos. Sin embargo, las víctimas se niegan cada vez más a pagar la cantidad inicial exigida: sólo el 2% de los encuestados paga la solicitud original. 
Perspectivas de SSL.com: Para combatir la creciente amenaza del ransomware, como lo ejemplifica la operación Black Basta, las organizaciones deben implementar una sólida estrategia de seguridad de múltiples capas que incluya la detección temprana de intentos de phishing y la explotación de vulnerabilidades conocidas, que son comunes. inicial Técnicas de acceso para ataques de ransomware. Es fundamental actualizar y parchear continuamente los sistemas para defenderse de exploits conocidos y emplear herramientas sofisticadas de detección y respuesta de endpoints que puedan Identifique y neutralizar las amenazas antes de que se intensifiquen. Además, las organizaciones deben capacitar periódicamente a su personal sobre las mejores prácticas de ciberseguridad y la concienciación sobre el ransomware para evitar ataques de phishing exitosos. SSL.com's Los certificados de autenticación de cliente pueden mejorar significativamente las medidas de seguridad al garantizar que solo los dispositivos y usuarios autenticados puedan acceder a los recursos de la red, lo que reduce el riesgo de acceso no autorizado que puede conducir a la implementación de ransomware; Además, estos certificados pueden ayudar a proteger las comunicaciones por correo electrónico, un vector común para la distribución de ransomware, añadiendo así una capa esencial de defensa contra este tipo de amenazas cibernéticas.

Aumente su resiliencia cibernética  

Cifrar hoy

Anuncios SSL.com

SSL.com's S/MIME Los certificados ahora se pueden integrar con una red habilitada para LDAP

LDAP (Protocolo ligero de acceso a directorios) es un protocolo estándar de la industria para acceder y administrar servicios de información de directorio. Se utiliza comúnmente para almacenar y recuperar información sobre usuarios, grupos, estructuras organizativas y otros recursos en un entorno de red.

Integración de LDAP con S/MIME Los certificados implican el uso de LDAP como servicio de directorio para almacenar y administrar certificados de usuario. 

Al integrar LDAP con S/MIME certificados, las organizaciones pueden centralizar la gestión de certificados, mejorar la seguridad y agilizar el proceso de recuperación y autenticación de certificados en diversas aplicaciones y servicios que aprovechan LDAP como servicio de directorio.

Contacto sales@ssl.com para obtener más información sobre la integración LDAP. 

El inicio de sesión único (SSO) ahora se puede habilitar para cuentas SSL.com 

Los usuarios de SSL.com ahora pueden activar el inicio de sesión único (SSO) para sus cuentas. Esta función permite a los usuarios vincular sus cuentas de Google, Microsoft, GitHub y Facebook a sus cuentas de SSL.com. Una vez vinculado e iniciado sesión en cualquiera de los cuatro proveedores de servicios mencionados, no es necesario que los usuarios inicien sesión repetidamente en sus cuentas SSL.com con su nombre de usuario y contraseña. La adopción de SSO por parte de SSL.com representa un compromiso de mantener altos estándares de seguridad y al mismo tiempo proporcionar un entorno fácil de usar, fomentando en última instancia una experiencia en línea más segura para sus usuarios. 

Automatice la validación y emisión de certificados de cifrado y firma de correo electrónico para empleados 

< p align=”justificar”>Inscripción masiva ya está disponible para Identificación personal+Organización S/MIME Certificados (también conocido como IV+OV S/MIME), o Certificados NAESB a través de la herramienta de pedidos masivos de SSL.com. Inscripción masiva de ID personal + Organización S/MIME y NAESB Certificates tiene el requisito adicional de una Empresa PKI (EPKI) Acuerdo. Una EPKI El acuerdo permite que un único representante autorizado de una organización solicite, valide, emita y revoque un gran volumen de estos dos tipos de certificados para otros miembros, lo que permite un cambio más rápido en la protección de los sistemas de comunicación y datos de una organización.

Suscríbase al boletín de SSL.com

No se pierda los nuevos artículos y actualizaciones de SSL.com

Nos encantaría recibir tus comentarios

Responda nuestra encuesta y háganos saber lo que piensa sobre su compra reciente.