Human Risk Roundup: Un gusano autorreplicante, una detención en el Reino Unido y un susto por una cuenta de Facebook

En esta edición del Human Risk Roundup, nos sumergimos en tres acontecimientos recientes de gran repercusión periodística - siga leyendo para obtener más información.

Un gusano autorreplicante afecta a más de 180 paquetes de software

Un malware autorreplicante llamado "Shai-Hulud" ha infectado más de 180 paquetes NPM, robando las credenciales de los desarrolladores y propagándose incrustándose en otros paquetes mediante tokens de autenticación robados. El ataque, que explota los repositorios de JavaScript, pone de relieve las vulnerabilidades de las actualizaciones automáticas de paquetes y subraya la necesidad de medidas de seguridad más estrictas, como la autenticación de dos factores a prueba de phishing.

¿Qué ha pasado?

Este gusano roba las credenciales de los desarrolladores, las utiliza para modificar y volver a publicar paquetes populares, y expone los datos robados en repositorios públicos de GitHub. El malware se propaga aprovechando tokens de autenticación NPM robados y herramientas como TruffleHog para buscar información sensible. El ataque se dirige principalmente a entornos Linux y macOS, saltándose los sistemas Windows, y ha sido descrito como una amenaza "living" capaz de reactivarse si se activa. Los expertos subrayan la necesidad de medidas de seguridad más estrictas, como la autenticación de dos factores verificada por personas, para evitar ataques similares a la cadena de suministro en el futuro.

Por qué es importante

El gusano Shai-Hulud supone una importante amenaza para el personal de ciberseguridad al explotar la cadena de suministro de software. Este ataque pone de manifiesto las vulnerabilidades de los procesos automatizados de publicación de paquetes, y subraya la necesidad de medidas de seguridad más estrictas, como una sólida autenticación de dos factores. La capacidad del gusano para propagarse rápidamente y crear repositorios públicos con credenciales robadas subraya los riesgos de la exposición de credenciales y los ataques a la cadena de suministro. Los equipos de ciberseguridad deben actuar con rapidez para contener este tipo de amenazas, ya que incluso un solo desarrollador comprometido puede reavivar la propagación del gusano. Este incidente sirve como llamada de atención para que la industria dé prioridad a la seguridad de los repositorios de paquetes y los entornos de los desarrolladores.

Cuatro consejos prácticos para los responsables de seguridad

1. Exigir el consentimiento humano explícito para cada solicitud de publicación utilizando un método 2FA robusto.
2. Asegúrese de que los desarrolladores rotan con frecuencia sus tokens de autenticación de NPM, GitHub y otros para minimizar el riesgo de que las credenciales robadas se utilicen con fines maliciosos.
3. Supervise continuamente los paquetes de código y las dependencias en busca de signos de compromiso.
4. Lleve a cabo una formación periódica para ayudar a los desarrolladores a reconocer y evitar los intentos de phishing, como los falsos avisos para actualizar la configuración de la autenticación multifactor, que se utilizaron en este ataque.

Más información sobre el ataque.

El Reino Unido detiene a los adolescentes de la "araña dispersa" vinculados al pirateo de Transport for London

Dos adolescentes, vinculados al grupo de piratas informáticos Scattered Spider, fueron detenidos en el Reino Unido por su implicación en el ciberataque 2024 contra Transport for London, que causó importantes trastornos y pérdidas financieras. Los sospechosos se enfrentan a cargos por uso indebido de ordenadores, fraude y otros ciberataques, incluidos los dirigidos contra organizaciones sanitarias estadounidenses y planes de extorsión en todo el mundo.

¿Qué ha pasado?

Owen Flowers y Thalha Jubair estuvieron presuntamente implicados en el ciberataque de agosto de 2024. Se cree que ambos son miembros del grupo de piratas informáticos Scattered Spider, al que Flowers también está vinculado con ataques a empresas sanitarias estadounidenses. El ataque a TfL perturbó los sistemas internos y los servicios en línea, revelando posteriormente los datos comprometidos de los clientes. Jubair se enfrenta a cargos adicionales en Estados Unidos por más de 120 violaciones de la red y ataques de extorsión, con víctimas que pagaron al menos 115 millones de dólares en rescates. La Agencia Nacional contra la Delincuencia destacó la importante perturbación causada por el ataque a TfL, que forma parte de las infraestructuras críticas del Reino Unido. Este caso subraya la creciente amenaza de la ciberdelincuencia por parte de grupos como Scattered Spider.

Por qué es importante

Las detenciones ponen de relieve la creciente amenaza de los ciberataques dirigidos contra infraestructuras críticas. Este caso subraya la importancia de contar con sólidas medidas de ciberseguridad, ya que el ataque causó importantes trastornos y expuso los datos de los clientes. La implicación de jóvenes en sofisticados delitos cibernéticos demuestra la accesibilidad de las herramientas de piratería informática y la necesidad de una educación y disuasión proactivas. Además, las supuestas conexiones de los sospechosos con ataques a organizaciones sanitarias estadounidenses revelan el alcance y el impacto globales de estos grupos cibercriminales. El caso también subraya la importancia de la colaboración internacional en la lucha contra la ciberdelincuencia, ya que tanto las autoridades británicas como las estadounidenses están implicadas. Para el personal de ciberseguridad, este incidente sirve de recordatorio para priorizar la detección de amenazas, las estrategias de respuesta y la protección de los datos sensibles.

Cuatro consejos prácticos para los responsables de seguridad

1. Implemente medidas de seguridad sólidas, que incluyan evaluaciones periódicas de la vulnerabilidad y planes de respuesta ante incidentes, para proteger estos servicios esenciales.
2. Manténgase informado sobre los colectivos activos de ciberdelincuentes, como Scattered Spider, y sus tácticas, lo que puede ayudar a anticipar posibles amenazas y adaptar las defensas en consecuencia.
3. Garantice una encriptación sólida, controles de acceso y auditorías periódicas para salvaguardar la información confidencial.
4. Colabore estrechamente con los organismos gubernamentales y comparta información y pruebas, ya que esto puede ayudar a rastrear y perseguir eficazmente a los ciberdelincuentes.

Más información sobre las detenciones.

La campaña de FileFix utiliza la suspensión de Facebook como cebo

La campaña de FileFix explota la ingeniería social engañando a los usuarios para que descarguen malware con el pretexto de resolver la suspensión de una cuenta de Facebook. Este sofisticado ataque utiliza correos electrónicos de suplantación de identidad, esteganografía y cargas útiles ofuscadas para desplegar el infosecuestrador StealC, dirigido a credenciales de navegador, monederos criptográficos y más en múltiples países.

¿Qué ha pasado?

Las víctimas han sido engañadas mediante correos electrónicos de phishing en los que se afirma que su cuenta de Facebook será eliminada a menos que presenten un recurso. El sitio de phishing pide a los usuarios que abran un falso Explorador de archivos y peguen un comando malicioso, que ejecuta un script PowerShell en segundo plano. Este script descarga una imagen que contiene código malicioso oculto mediante esteganografía, que luego extrae y ejecuta cargas útiles adicionales. La carga útil final, StealC, es un infosecuestrador avanzado que tiene como objetivo las credenciales del navegador, las carteras de criptomonedas y otros datos confidenciales. La campaña utiliza técnicas de ofuscación y opera a escala mundial, lo que indica que se trata de ataques oportunistas y no selectivos.

Por qué es importante

La campaña de FileFix representa una evolución significativa en los ataques de ingeniería social, aprovechando el miedo a la suspensión de la cuenta de Facebook para manipular a las víctimas para que ejecuten el malware. Esto demuestra cómo los atacantes están perfeccionando técnicas, como el uso de la esteganografía para ocultar cargas maliciosas en imágenes, lo que dificulta su detección. El uso por parte de la campaña de correos electrónicos de phishing y mensajes falsos de "Meta Help Support" pone de relieve la amenaza constante del phishing como principal vector de ataque. Al dirigirse contra credenciales, monederos criptográficos y servicios en la nube, el ataque supone un amplio riesgo tanto para particulares como para organizaciones. Su alcance global y su capacidad para adaptar métodos de ofuscación lo convierten en una amenaza versátil y peligrosa. Los equipos de ciberseguridad deben permanecer vigilantes, mejorar las capacidades de detección y educar a los usuarios para mitigar los riesgos que plantean campañas tan sofisticadas.

Cuatro consejos prácticos para los responsables de seguridad

1. Forme a los empleados para que sepan reconocer los correos electrónicos de phishing y las indicaciones sospechosas, como las que imitan el soporte de ayuda de "Meta" o las que les instan a tomar medidas inmediatas para evitar la suspensión de la cuenta.
2. Utilice herramientas capaces de identificar cargas útiles esteganográficas y malware que evade el sandbox, ya que estas técnicas se utilizan cada vez más en ataques sofisticados.
3. Manténgase alerta ante los IoC vinculados a campañas como FileFix, que se dirigen a usuarios de todo el mundo con cargas útiles ofuscadas y señuelos de phishing.
4. Asegúrese de que los sistemas de protección de puntos finales pueden detectar y bloquear scripts maliciosos, como los comandos PowerShell, y evitar ejecuciones de archivos no autorizadas.

Más información sobre la campaña.