0 minutos de lectura
La policía cierra 600 servidores de Cobalt Strike, herramienta de Cloudflare para detener bots de IA, registros de malware Infostealer usados para identificar miembros de sitios web de CSAM y más
Noticias de Seguridad que Puedes Usar — Edición 15
Lionel Menchaca
Nota de Lionel: Ha pasado un tiempo desde que publiqué una edición de las “Noticias de Seguridad que Puedes Usar de Forcepoint”.
Estoy reviviendo esta serie quincenal por dos razones: 1) Algunos empleados de Forcepoint me pidieron que la reviviera y 2) Para la segunda mitad de 2024, se me pidió que siguiera el panorama de ciberseguridad más amplio, más allá de los intereses de Forcepoint.
Esta edición comienza con una operación policial global que derribó casi 600 servidores utilizados por grupos cibercriminales vinculados a Cobalt Strike. Cloudflare introdujo una herramienta para evitar que los bots de IA recopilen datos de sitios web para entrenamiento. El Grupo Insikt de Recorded Future utiliza registros de malware que roba información para identificar a más de 3,000 miembros de sitios web que acceden a material de abuso sexual infantil (CSAM), la vulnerabilidad regreSSHion deja millones de servidores OpenSSH vulnerables y más.
Historias relacionadas con ciberseguridad que llaman nuestra atención:
Una operación policial global con el nombre en clave MORPHEUS ha desmantelado con éxito casi 600 servidores de ciberdelincuencia vinculados al uso ilícito del framework Cobalt Strike. Liderada por la Agencia Nacional del Crimen del Reino Unido y con la participación de autoridades de múltiples países, la operación se centró en versiones antiguas y no licenciadas de Cobalt Strike, una herramienta a menudo abusada por ciberdelincuentes y actores estatales para actividades post-explotación y despliegue de ransomware. Esta operación destaca los esfuerzos continuos para combatir la infraestructura de ciberdelincuencia, con Europol informando que 590 de 690 direcciones IP señaladas ahora están fuera de línea y refuerza la necesidad de medidas mejoradas de ciberseguridad para prevenir la explotación similar de software legítimo por entidades maliciosas.
Cloudflare ha introducido una herramienta gratuita para combatir bots de IA que recopilan datos de sitios web para entrenar modelos de IA. Mientras que los principales proveedores de IA como Google y OpenAI permiten a los sitios bloquear sus bots mediante robots.txt, no todos los bots cumplen con esta directiva. La nueva herramienta de la compañía utiliza modelos de detección avanzados para identificar y bloquear bots de IA evasivos analizando sus patrones de tráfico y comportamiento. Esta iniciativa aborda las crecientes preocupaciones de los propietarios de sitios web sobre la recopilación no autorizada de datos por parte de empresas de IA. A medida que aumenta la demanda de datos de entrenamiento de IA, más sitios están bloqueando a los recolectores de datos de IA, pero algunos proveedores eluden estas restricciones, planteando desafíos continuos. La solución de Cloudflare tiene como objetivo mejorar la precisión de la detección de bots y apoyar a los propietarios de sitios web en la protección de su contenido.
El grupo Insikt de Recorded Future utilizó registros de malware ladrón de información para identificar a 3,324 individuos que acceden a sitios web de material de abuso sexual infantil (CSAM), marcando una herramienta novedosa para la aplicación de la ley. Al analizar datos de malware como Redline y Raccoon, la empresa vinculó credenciales robadas a nombres de usuario, direcciones IP y detalles del sistema. Esta información, compartida con las fuerzas del orden, facilita la identificación y arresto de sospechosos. Los registros de malware, que típicamente contienen credenciales, historial de navegación e información del sistema, se cruzaron con dominios conocidos de CSAM. Los esfuerzos de Insikt destacan el potencial de aprovechar herramientas cibercriminales para combatir la explotación infantil, con implicaciones significativas para las investigaciones policiales.
Millones de servidores OpenSSH están en riesgo debido a la vulnerabilidad regreSSHion (CVE-2024-6387), que permite la ejecución remota de código sin autenticación. Descubierta por Qualys, esta falla crítica en el proceso 'sshd' del servidor OpenSSH en sistemas Linux basados en glibc podría llevar al control total del sistema, permitiendo la instalación de malware y la creación de puertas traseras. Se han identificado más de 14 millones de instancias potencialmente vulnerables a nivel mundial, con alrededor de 700,000 sistemas expuestos confirmados por Qualys. Este problema, comparable a la severa vulnerabilidad Log4Shell de 2021, surge de una condición de carrera del controlador de señales reintroducida en OpenSSH 8.5p1 en octubre de 2020. Aunque recientemente eliminada en OpenSSH 9.8p1, las organizaciones que no pueden actualizar deben aplicar los parches próximos. Qualys ha compartido detalles técnicos e indicadores de compromiso para ayudar en la detección, pero ha retenido el código de prueba de concepto para prevenir la explotación.
Más de 110,000 sitios web que usan Polyfill.io están comprometidos tras su adquisición por la empresa china Funnull, que modificó la biblioteca JavaScript para redirigir a los usuarios a sitios maliciosos. Google bloqueó los anuncios para los sitios de comercio electrónico afectados y proporcionó información de mitigación. Cloudflare y Fastly ofrecieron soluciones alternativas, instando a los usuarios a abandonar Polyfill.io debido a los riesgos de los ataques a la cadena de suministro. El dominio comprometido se ha trasladado desde entonces a polyfill.com. Este incidente subraya las vulnerabilidades en el JavaScript del lado del cliente y destaca la necesidad crítica de soluciones avanzadas de monitoreo. Además, una falla crítica relacionada, CVE-2024-34102, impacta a los sitios web de Adobe Commerce y Magento, exacerbando el panorama de amenazas de seguridad.
Lionel Menchaca
Leer más artículos de Lionel MenchacaAs the Content Marketing and Technical Writing Specialist, Lionel leads Forcepoint's blogging efforts. He's responsible for the company's global editorial strategy and is part of a core team responsible for content strategy and execution on behalf of the company.
Before Forcepoint, Lionel founded and ran Dell's blogging and social media efforts for seven years. He has a degree from the University of Texas at Austin in Archaeological Studies.
- Forcepoint Security News
En este post
- Forcepoint Security NewsRead Past Issues
X-Labs
Get insight, analysis & news straight to your inbox
Al Grano
Ciberseguridad
Un podcast que cubre las últimas tendencias y temas en el mundo de la ciberseguridad
Escuchar Ahora