Esta semana en ciberseguridad – Julio, Semana 2

La campaña de Ransomware más grande de la historia, lanzada este fin de semana

Resumen: El presidente Biden ha dirigido “todos los recursos del Gobierno para ayudar en respuesta” a un ataque de REvil Ransomware que podría haber afectado a 1.000 empresas a través de sus proveedores de servicios de TI este fin de semana.

Qué hacer: Dígale a sus colegas que está monitoreando la Brecha del tipo Kaseya. Tenga en cuenta que es poco probable que afecte a su empresa, pero brinda la oportunidad de reflexionar sobre la resiliencia operativa y la ciberseguridad en todos sus proveedores.

Esta brecha probablemente no perjudicará a su empresa. Existe una posibilidad muy pequeña (2%) de que su empresa resulte perjudicada porque un proveedor clave con que tenga su servicio de soporte de TI como servicio Administrado (MSP) y utilice el software de Kaseya haya sido afectado.

Tenga en cuenta que REvil no parece estar robando ni publicando datos de las empresas que piratean a través de Kaseya, solo cifrando archivos.

Inconveniente: en Suecia, millones de personas no pudieron comprar comida, petróleo, medicinas o tickets de tren con efectivo. Grandes empresas como Coop, St1 Energy y Swedish Rail, fueron afectadas con el Ransomware REvil por sus proveedores de Servicios Administrados (MSPs) que soportaban sus departamentos de TI.

Causa principal: el Ransomware REvil fue enviado a mas de 1.000 Empresas a través de sus proveedores de servicios administrado (MSP), estos usaban una version de software afectada de Kaseya “Virtual System Administration” (VSA) para soportar a sus clientes de TI.

El software VSA de Kaseya fue secuestrado previamente a través de una falla de día cero el Viernes 2 de Julio, que fue reportada a Kaseya por Dutch Cyber Authorities pero no a tiempo para prevenir el secuestro.

Aprendizaje: Cualquier brecha en la cadena de suministro de una compañía es una oportunidad para que los ejecutivos reflexiones de la sensibilidad de su seguridad de la información en toda la cadena. La brecha de Kaseya es similar a la the SolarWinds y Microsoft Exchange y todas ellas fueron anticipadas por SecurityScorecard.

Los hackers de Magecart ocultan los datos de tarjetas de crédito robadas en imágenes para una exfiltración evasiva

Los actores de delitos cibernéticos que forman parte del grupo Magecart se han aferrado a una nueva técnica para ocultar el código de malware dentro de los bloques de comentarios y codificar los datos de tarjetas de crédito robadas en imágenes y otros archivos alojados en el servidor, demostrando una vez más cómo los atacantes mejoran continuamente sus cadenas de infección. para escapar de la detección.

“Una táctica que emplean algunos actores de Magecart es el volcado de los detalles de las tarjetas de crédito pasadas en archivos de imagen en el servidor [para] evitar levantar sospechas”, “Estos se pueden descargar posteriormente mediante una simple solicitud GET en una fecha posterior”.

dijo el analista de seguridad de Sucuri, Ben Martin, en un artículo.

MageCart es el término general que se le da a varios grupos de ciberdelincuentes que se dirigen a sitios web de comercio electrónico con el objetivo de saquear números de tarjetas de crédito inyectando skimmers maliciosos de JavaScript y vendiéndolos en el mercado negro.

Fuente: https://thehackernews.com/2021/07/magecart-hackers-hide-stolen-credit.html