Hackers vinculados a China atacan a expertos estadounidenses en inteligencia artificial con el malware SugarGh0st
Los investigadores de Proofpoint han descubierto una campaña muy específica por parte de un presunto actor de amenazas chino, denominado "UNK_SweetSpecter", destinada a robar información de expertos en inteligencia artificial en los Estados Unidos. Los atacantes utilizaron una variante personalizada del famoso malware Gh0st RAT, llamado SugarGh0st, para infectar los sistemas de un grupo selecto de personas asociadas con una organización líder en inteligencia artificial con sede en EE. UU. La campaña, que surgió en mayo de 2024, incluía correos electrónicos de phishing con temas de IA que contenían un archivo ZIP malicioso. Una vez ejecutado, el malware estableció comunicación con un servidor de comando y control controlado por el atacante, lo que potencialmente permitió a los piratas informáticos filtrar datos confidenciales relacionados con las tecnologías de inteligencia artificial generativa. Proofpoint sugiere que esta campaña puede ser una respuesta a los recientes esfuerzos del gobierno estadounidense para restringir el acceso chino a las tecnologías de IA generativa. La naturaleza selectiva del ataque y su enfoque en expertos en IA indican que el objetivo del actor de la amenaza probablemente era obtener información no pública sobre la inteligencia artificial generativa para promover los objetivos de desarrollo de China en este campo.Asegure sus correos electrónicos ahora
CISA advierte sobre una falla activamente explotada en NextGen Healthcare Mirth Connect
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha emitido una advertencia urgente sobre una vulnerabilidad de seguridad crítica en NextGen Healthcare Mirth Connect, una plataforma de integración de datos de código abierto ampliamente utilizada en la industria de la salud. La falla, identificada como CVE-2023-43208, permite la ejecución remota de código no autenticado y se cree que se explota activamente en la naturaleza. La vulnerabilidad surge de un parche incompleto para otra falla crítica, CVE-2023-37679, y está relacionada con el uso inseguro de la biblioteca Java XStream para descomponer cargas útiles XML. Los investigadores de Horizon3.ai revelaron por primera vez la vulnerabilidad en octubre de 2023, con detalles técnicos adicionales y un exploit de prueba de concepto lanzado en enero de 2024. CISA ha agregado CVE-2023-43208 a su catálogo de vulnerabilidades explotadas conocidas (KEV), lo que exige a las agencias federales que actualicen sus sistemas a la versión 4.4.1 o posterior de Mirth Connect antes del 10 de junio de 2024. Aunque la agencia no ha proporcionado detalles sobre las vulnerabilidades en curso ataques, la falla se considera fácilmente explotable y representa un riesgo significativo para las organizaciones de atención médica. Además de la vulnerabilidad Mirth Connect, CISA también ha agregado un error de confusión de tipos recientemente revelado que afecta a Google Chrome (CVE-2024-4947) al catálogo KEV, ya que Google ha reconocido que se puede explotar en ataques del mundo real.Ciudad de Wichita blanco de ataque de ransomware de fin de semana
La ciudad de Wichita, Kansas, la ciudad más grande del estado y una de las 50 ciudades más grandes de los Estados Unidos, reveló que fue afectada por un ataque de ransomware durante el fin de semana. El incidente, que ocurrió el domingo 5 de mayo, obligó a la ciudad a cerrar partes de su red para evitar la propagación del ransomware a otros dispositivos. En una medida inusualmente transparente, la Ciudad confirmó el ataque en su sitio web, afirmando que se está llevando a cabo una revisión y evaluación exhaustiva del incidente, incluido el impacto potencial en los datos. Como resultado del ataque, los sistemas de pago en línea de la ciudad, incluidos aquellos para pagar facturas de agua y citaciones y multas judiciales, están actualmente fuera de línea. Si bien la ciudad no ha revelado la identidad de la banda de ransomware responsable del ataque, han informado del incidente a las agencias policiales locales y federales, que están ayudando en la respuesta. Aún no se sabe si se ha robado algún dato, aunque es común que las bandas de ransomware exfiltren datos de las redes comprometidas durante días o incluso semanas antes de implementar sus cifradores. A pesar del ataque, el Ciudad ha asegurado a los residentes que los socorristas, incluidos los departamentos de policía y bomberos, todavía están brindando servicios, habiendo cambiado a medidas de continuidad del negocio cuando fue necesario.Fortalecer Infraestructura crítica Deportacions
Black Basta Ransomware se dirige a más de 500 organizaciones en todo el mundo
La operación Black Basta ransomware-as-a-service (RaaS) se ha dirigido a más de 500 entidades de la industria privada y de infraestructura crítica en América del Norte, Europa y Australia desde su aparición en abril de 2022, según un aviso conjunto publicado por CISA y el FBI. , HHS y MS-ISAC. Los actores de amenazas detrás de Black Basta han cifrado y robado datos de al menos 12 de 16 sectores de infraestructura críticos, empleando un modelo de doble extorsión. Los afiliados del grupo utilizan técnicas comunes de acceso inicial, como phishing y explotación de vulnerabilidades conocidas, y proporcionan a las víctimas un código único para contactarlas a través de una URL .onion para recibir instrucciones de pago del rescate. Black Basta ha estado vinculado a 28 de los 373 ataques de ransomware confirmados en abril de 2024 y fue testigo de un aumento del 41 % en su actividad trimestre tras trimestre en el primer trimestre de 1. Se cree que el grupo tiene vínculos con el grupo de ciberdelincuencia FIN2024. El panorama del ransomware está experimentando cambios, con una disminución del 18% en la actividad en el primer trimestre de 1 en comparación con el trimestre anterior, principalmente debido a las operaciones policiales contra ALPHV (también conocido como BlackCat) y LockBit. En las últimas semanas también han surgido nuevos grupos de ransomware, como APT2024, DoNex, DragonForce, Hunt, KageNoHitobito, Megazord, Qiulong, Rincrypt y Shinra. A pesar de la disminución general de la actividad de ransomware, el pago promedio de rescate se ha multiplicado por cinco durante el último año, de 5 dólares a 400,000 millones de dólares, según una encuesta de Sophos. Sin embargo, las víctimas se niegan cada vez más a pagar la cantidad inicial exigida: sólo el 2% de los encuestados paga la solicitud original.Aumente su resiliencia cibernética
Anuncios SSL.com
SSL.com's S/MIME Los certificados ahora se pueden integrar con una red habilitada para LDAP
LDAP (Protocolo ligero de acceso a directorios) es un protocolo estándar de la industria para acceder y administrar servicios de información de directorio. Se utiliza comúnmente para almacenar y recuperar información sobre usuarios, grupos, estructuras organizativas y otros recursos en un entorno de red.
Integración de LDAP con S/MIME Los certificados implican el uso de LDAP como servicio de directorio para almacenar y administrar certificados de usuario.
Al integrar LDAP con S/MIME certificados, las organizaciones pueden centralizar la gestión de certificados, mejorar la seguridad y agilizar el proceso de recuperación y autenticación de certificados en diversas aplicaciones y servicios que aprovechan LDAP como servicio de directorio.
Contacto ventas@ssl.com para obtener más información sobre la integración LDAP.