El grupo Amper sufre un ciberataque. Amper es un grupo empresarial español con una trayectoria de más de 60 años de historia, que cuenta con una presencia importante en los mercados de Defensa y Seguridad. Pues bien, en esta ocasión, de nada les ha servido. En esta ocasión (nuevamente) y decimos nuevamente, ha sido el llamado Black Basta, el causante de ello, nombre por el que se conoce también a su propio ‘ransomware’

Según noticia de «EurapaPress», Amper sufre un ciberataque con el supuesto robo de 650 gigas de datos de proyectos y de sus empleados. La compañía afirma que la magnitud del incidente «no ha sido grande» y que no ha afectado a ningún sistema crítico.

Según se conocía, tras las primeras investigaciones, todo apunta a la noche del pasado 6 de junio, y que la vía de entrada habría sido uno de los equipos de un trabajador de la empresa. Siendo este su «modus operandi» normalmente, utilizando técnicas de phishing para que la gente haga click en un enlace concreto y bien orquestado.

Una vez más, tenemos que indicar este tipo de noticias, y recalcar la importancia de la seguridad empresarial.

Enlace de Incibe para más información: https://www.incibe.es/incibe-cert/blog/black-basta-acciones-de-respuesta-y-recuperacion

TLC sistemas siempre al tanto de las noticias que afectan al mundo empresarial y tecnológico.

La multinacional Ayesa con más de 12.500 trabajadores se ve afectada por un ciberataque que apunta en principio a «Black Basta» grupo conocido por la doble extorsión: cifra los datos y exige rescate tanto por recuperarlos como por no difundirlos.

La banda de ransomware Black Basta, vinculada a Rusia, es la principal sospechosa del ciberataque sufrido por la multinacional sevillana de consultoría e ingeniería Ayesa, un grupo organizado que se calcula ha birlado 100 millones de dólares en rescates a un centenar de víctimas desde que naciera en 2022 y suele utilizar una doble extorsión tras encriptar los datos, cobra por recuperarlos pero también por no publicar la información en el sitio de filtración de la dark web de Black Basta.

Ya han restaurado los servicios de Microsoft, incluyendo Office 365, pero no las herramientas internas corporativas, por ejemplo la herramienta de gestión de las picadas de entrada y salida (fichajes) sigue sin funcionar. Y lo que es peor, las máquinas de SAP que generan el pago de nóminas”, relataban fuentes internas.

Según «Incibe«: Black Basta ha demostrado ser una “amenaza importante” para los sectores industriales, ya que el 30% de sus objetivos pertenecieron a sectores como los de manufactura, ingeniería y construcción. “Esta preferencia se debe a la alta dependencia de estos sectores en la continuidad operacional, su capacidad para realizar pagos significativos, infraestructuras de TI potencialmente desactualizadas y menos enfocadas en ciberseguridad, así como la alta valoración de sus datos en el mercado negro”.

Black Basta empleaba técnicas de phishing para infiltrarse en las redes de sus objetivos, aprovechando métodos que evitan la detección por parte de soluciones antivirus, como el envío de correos electrónicos que incitan a las víctimas a descargar un archivo ZIP que contenía una imagen ISO, una estrategia diseñada para eludir los mecanismos de seguridad, ya que los archivos ISO no son comúnmente bloqueados o marcados como peligrosos por los sistemas de seguridad.

Una vez más, desde TLC sistemas, insistimos en la necesidad de prestar atención y emplear las medidas oportunas en materia de seguridad informática, de ello dependeremos.

Un número sin determinar de servidores de IA han sido hackeados a través de una vulnerabilidad de Ray, un framework que usan empresas tan importantes como OpenAI o Amazon. En concreto, investigadores de ciberseguridad advierten de que los actores de amenazas están explotando activamente una vulnerabilidad «controvertida» y sin parches en una plataforma de inteligencia artificial (IA) de código abierto llamada Anyscale Ray para la minería ilícita de criptomonedas.

Ray es un marco informático de código abierto totalmente gestionado que permite a las organizaciones crear, entrenar y escalar cargas de trabajo de IA y Python. Consta de un tiempo de ejecución distribuido central y un conjunto de bibliotecas de IA para simplificar la plataforma de ML. La vulnerabilidad de seguridad en cuestión es CVE-2023-48022 (puntuación CVSS: 9,8), un fallo crítico de falta de autenticación que permite a atacantes remotos ejecutar código arbitrario a través de la API de envío de trabajos.

«Oligo» dijo que: observó que la vulnerabilidad en la sombra estaba siendo explotada para violar cientos de clústeres de GPU Ray, permitiendo potencialmente a los actores de la amenaza hacerse con un tesoro de credenciales sensibles y otra información de los servidores comprometidos.

Esto incluye contraseñas de bases de datos de producción, claves SSH privadas, tokens de acceso relacionados con OpenAI, HuggingFace, Slack y Stripe, la capacidad de envenenar modelos y acceso elevado a entornos en la nube de Amazon Web Services, Google Cloud y Microsoft Azure.

Estamos en los comienzos de una era, donde la IA se pone en marcha, donde las empresas apuestan por un desarrollo sin contar una vez más con los peligros que esto supone, la exposición de los datos empresariales, valiosos y sensibles, mientras los hackers permanecen en la sombra, totalmente desapercibidos (y, con herramientas de seguridad estáticas, indetectables) ¿estamos seguros?

Así es, habéis leído correctamente la noticia, os cuento que no es broma:

El Banco Industrial y Comercial de China (ICBC), considerado el mayor banco del mundo por volumen de activos, sufrió hace dos meses un gran ciberataque de «ransomware «que interrumpió el funcionamiento de sus sistemas. Aunque la entidad financiera logró recuperarse, no fue precisamente por estar a la última en ciberseguridad… sino por usar tecnología completamente obsoleta ¿Cómo es posible? pues sí.

SERVIDOR vintage al rescate.

Por fortuna, ICBC logró recuperarse rápidamente del ataque, en parte gracias al uso de un servidor extremadamente antiguo del fabricante Novell (desaparecido hace ya una década): al ser una máquina de más de 20 años de antigüedad con su propio sistema operativo (Novell NetWare), el ransomware de LockBit no era compatible con ella y no fue capaz de afectarla.

Que es más o menos lo que debería haber ocurrido con el virus informático que salva a la humanidad al final de ‘Independence Day’, que no fuera capaz de ejecutarse en un servidor alienígena. Pero bueno, Hollywood.

En cualquier caso, este caso resalta la contraintuitiva paradoja de que, en ocasiones, la antigüedad de la tecnología usada puede ofrecer una forma de protección contra ciberataques. Sin embargo, eso no significa que la solución sea olvidarse de implementar actualizaciones.

Y es que resulta que el ICBC podría haber evitado sufrir este ciberataque en primer lugar si hubiera aplicado con diligencia las actualizaciones de software: LockBit se infiltró en sus sistemas haciendo uso de la vulnerabilidad Citrix Bleed, que ya se conocía desde un mes antes del incidente.

«Escape Room» Los Juegos de escapismo o Escape room consisten en intentar escapar de una habitación en la que has entrado con tu grupo de amigos y hacerlo en menos de un tiempo definido, normalmente una hora. Para poder conseguirlo debéis resolver una serie de juegos que dentro de la sala están preparados para ser resueltos por vosotros gracias a la observación, ingenio, juego en equipo, etc., en ningún caso con la fuerza, ya que de esta forma sería demasiado fácil y no tendría ningún mérito.

Te recomendamos este «Escape» orientado en la ciberseguridad. Esta iniciativa tiene como objetivo concienciar a todos los ciudadanos de lo importante que es la ciberseguridad y los diferentes consejos que se deben seguir para mantener una contraseña segura, no descargar archivos en los que no se confía o evitar caer en phishing. En concreto, es una experiencia que está centrada en un Ransomware.

Enlace: https://angeles.ccn-cert.cni.es/Escape-Room/

Para poder solucionar el problema de seguridad, tendrás que encontrar un código de desactivación en menos de una hora, ya que a partir de ese tiempo todos los datos se eliminarán ja ja como la vida misma. Al comenzar, apareces en la supuesta terminal principal de una empresa (para darle realismo) y tendrás que comenzar a investigar en los diferentes puzles que son completamente interactivos. Entre estos encontramos mapas, notas de periódico, papeles rotos… lo importante es tocar todo lo que te encuentres.

¡¡LO VAS A FLIPAR!! ¿Te atreves?

¿Qué es el ‘SIM swapping’? Es una estafa que consiste en duplicar de forma fraudulenta la tarjeta SIM del teléfono móvil de una persona. Primero, el ciberdelincuente suplanta su identidad para conseguir el duplicado. Después, una vez que la víctima se queda sin servicio telefónico (detalle a tener en cuenta), accede a su información personal y toma el control de su banca digital utilizando los SMS de verificación que llegan al número de teléfono.

Los ciberdelincuentes suelen contactar a través de una llamada con la operadora de telefonía o de forma presencial y proporcionan la información personal y privada de la víctima, como su número de DNI, para suplantar su identidad. Estos datos pueden haber sido recabados anteriormente realizando otros ataques de ingeniería social a los afectados (fraudes a través de SMS, email o llamada telefónica en los que se hacen pasar por compañías o entidades de confianza para intentar engañarlos) o indagando en sus redes sociales.

Los datos sensibles de las víctimas también pueden ser obtenidos si estas han descargado aplicaciones fraudulentas en sus dispositivos, diseñadas por los ciberdelincuentes para robar este tipo de información, o si se han conectado a redes wifi falsas creadas para alcanzar tal objetivo.

El principal riesgo del duplicado de la tarjeta SIM radica en que cuando se realiza a través de una llamada telefónica no se efectúa una verificación de la identidad física. El operador de la compañía solicita ciertos datos personales y bancarios; si el estafador ha obtenido esta información mediante alguno de los métodos de ataque mencionados anteriormente, podría adquirir el duplicado.