Esta semana en ciberseguridad

Ataque Ransomware a CD Projekt interrumpe el trabajo, posponiendo actualizaciones al juego Cyberpunk 2077

La compañía polaca CD Projekt SA, culpa del lento progreso que han logrado al reciente ataque del que fueron víctimas.

CD Projekt dijo que se ha rehusado a pagar la recompensa solicitada por los atacantes, y ha “cortado acceso a la red interna desde internet”

Debido a este ataque, que fue informado el 9 de Febrero, la mayoría de los empleados se han encontrado impedidos de acceder a sus estaciones de trabajo por más de 2 semanas.

Luego de un tormentoso lanzamiento de Cyberpunk 2077 en Diciembre, CD Projekt había anunciado los planes de lanzar diversas mejoras al juego este mes intentando redimir los las críticas y problemas a en su inicio, pero la compañia informó en un tweet que debido a las complicaciones generadas por el ataque esto lamentablemente no podrá ocurrir, anunciando que apuntan a la segunda mitad de Marzo para ello.

A pesar de que los empleados han tenido vacaciones inesperadas después de un largo periodo de trabajo, este ataque podría ser un dolor de cabeza para ellos, ya que los atacantes posiblemente accedieron a datos personales, incluyendo números de identificación y pasaportes, por lo que la compañía sugirió que bloqueen sus tarjetas y reporten el ataque a quien sea relevante

REFERENCIA: https://www.bloomberg.com/news/articles/2021-02-24/cd-projekt-hack-severely-disrupts-work-on-cyberpunk-game-updates

Más de 6700 servidores VMware expuestos y vulnerables a nuevo bug

Una nueva vulnerabilidad, afectando a VMware vSphere, ha sido publicada el día 24 de Febrero. Esta falla permite ejecutar código remotamente en el plugin vCenter Server, permitiendo a un atacante malicioso con acceso al puerto 443 ejecutar comandos privilegiados en el sistema operativo que sirve vCenter Server.

Esta vulnerabilidad afecta a VMware vCenter (versiones 7.x previas a 7.0 U1c, 6.7 previas a 6.7 U3l y 6.5 previas a 6.5 U3n) y VMware Cloud Foundation (versiones 4.x previas a 4.2 y 3.x previas a 3.10.1.2).

Luego que un investigador de seguridad chino publicara código de la prueba de concepto de este ataque en su blog, se han detectado escaneos masivos a servidores VMWare, con la intención de encontrar servicios potencialmente vulnerables y tomar control de ellos.

Esta vulnerabilidad es conocida como CVE-2021-21972, y se considera altamente crítica, por lo que es importante actualizar sus instalaciones VMware usando los parches oficiales del fabricante

REFERENCIA:
(1) https://www.vmware.com/security/advisories/VMSA-2021-0002.html
(2) https://www.tenable.com/cve/CVE-2021-21972
(3) https://swarm.ptsecurity.com/unauth-rce-vmware/
(4) https://www.zdnet.com/article/more-than-6700-vmware-servers-exposed-online-and-vulnerable-to-major-new-bug/

Extensión maliciosa de Firefox permite a atacantes acceder a cuentas Gmail

Un nuevo ataque descubierto permite tomar control de las cuentas Gmail de las víctimas, usando una extensión maliciosa para Firefox llamada FriarFox.

Investigadores indican que esta campaña, observada durante los primeros meses de este año, ha apuntado a organizaciones Tibetanas, y está ligado a TA413, uno de los APT del estado Chino, sigla en inglés para “Amenazas Avanzadas y Persistentes”.

La extensión simula ser una actualización de Flash Player, software obsoleto desde fin de 2020, para persistir en el navegador de la víctima, y permite a los atacantes buscar, leer, eliminar y reenviar mensajes de Gmail, así como recibir notificaciones y enviar correos. El malware se ha distribuido principalmente usando correos tipo Phishing.

REFERENCIA: https://www.proofpoint.com/us/blog/threat-insight/ta413-leverages-new-friarfox-browser-extension-target-gmail-accounts-global