Dark News es un resumen semanal de noticias de ciberseguridad. Los temas están producidos y seleccionados por Juan Brodersen según estos criterios de edición.

14>21
mar

⚡TL;DR

La noticia que dominó la agenda cyber fue más empresarial: Google compró Wiz, en la mayor adquisición del mundo cyber de la historia: 32 mil millones de dólares.

Si bien el tema es del mundo corporativo, diversos analistas empezaron a teorizar sobre qué significa la compra de esta empresa israelí y su conexión con los servicios de inteligencia. Más allá de esto, el anuncio sacudió las conversaciones en la industria. La última compra grande de Google en este terreno había sido Mandiant en 2022, por (apenas) 5.400 millones.

Ya en terreno de la ciberseguridad, a nivel regional, Uruguay fue protagonista de un defacement del sitio web de la Dirección Nacional de Aviación Civil e Infraestructura Aeronáutica, además de una filtración de datos de ciudadanos. En Chile, RansomHub anunció como víctima a una minera. Y a la presidenta de México le hackearon un celular y su correo electrónico.

En el plano local, en Argentina hubo algunos anuncios de posteos nuevos en foros de compraventa de datos, pero la noticia de la semana fue el compromiso de cuenta del diputado nacional José Luis Espert.

En el mundo de los reportes, apareció uno muy interesante que tiene que ver con el sector OT, donde se apunta a mejorar la ciberseguridad de los cables submarinos que conectan el mundo a internet. Siguieron apareciendo informes que muestran lo fácil que es crear malware con DeepSeek, algo que hace unas semanas tratamos en esta publicación.

Y un informe en particular apunta a la explotación de vulnerabilidades en WordPress, donde corre casi media internet.

El dato para cerrar es preocupante: empresas y programadores filtraron cerca de 23.8 millones de secretos en repositorios de GitHub durante el año pasado. Según GitGuardian, a pesar de los esfuerzos de GitHub para frenar estos problemas, no sólo siguen ocurriendo sino que se incrementan.

En el reporte se puede ver qué fue lo que más filtraron: credenciales de MongoDB y API Keys de Google.

En esta edición:

• 👹 WordPress: cada vez es más fácil explotar vulnerabilidades

• 💰 Google compró Wiz

• 🔌 Proponen nuevas medidas de seguridad para los cables submarinos

• 👾 Microsoft descubre un nuevo malware usado para robos cripto

• 📲 Hackean un teléfono de la presidenta de México

• 🕵 Comprometen la cuenta de X del diputado nacional José Luis Espert

• 🔏 Black Basta tiene su propio bruteforcer

⏰ Substack dice que leer este correo completo lleva 9 minutos

Dark News #131

WordPress: cada vez es más fácil explotar vulnerabilidades

Un informe advirtió que el 43 por ciento de las vulnerabilidades descubiertas en WordPress no requieren autenticación para ser explotadas.

Impacto. Según el reporte de Patchstack, la mayoría de los fallos impactaron en plugins, profundizando una tendencia que venía de años anteriores: el 96 por ciento se encontró en complementos desarrollados por terceros.

Más fallos. Según el estudio, en 2024, se identificaron 7.966 nuevas vulnerabilidades en el ecosistema de WordPress, lo que equivale a cerca de 22 nuevas por día y representa un incremento del 34% en comparación con 2023. El “time-to-exploit” es más corto que en años anteriores.

Prioridades. El estudio asegura que se necesita más rigurosidad a la hora de asignar la gravedad de los problemas de seguridad (CVSS). “A veces se otorga severidad alta a vulnerabilidades que requieren altos privilegios de usuario y no pueden ser explotadas en escenarios reales”, aseguran.

El impacto de las vulnerabilidades en WordPress es significativo porque se estima que un 43,6 por ciento de los sitios web corren sobre WordPress (con una cuota de mercado de gestores de contenido -CMS- del 62,1%).

Google compró Wiz

Luego de estar en conversaciones durante un año, Google compró la compañía de ciberseguridad Wiz por 32 mil millones de dólares. La operación quedó pendiente de revisión regulatoria.

Seguridad Cloud. La compra implica que Wiz se unirá a la división Cloud de Google, pero continuará dando soporte de sus servicios a la mayoría de las plataformas que opera en la actualidad.

Según Reuters, el cambio de Gobierno en Estados Unidos preparó el terreno para que no haya trabas antimonopolio. Los ejecutivos de Wiz se mostraron cautelosos después de ver cómo el intento de adquisición de Figma por parte de Adobe (ADBE.O), por valor de 20.000 millones de dólares, se venía abajo debido al escrutinio antimonopolio a finales de 2023, dijeron dos personas.

Google pelea contra dos demandas del Departamento de Justicia de EE.UU. sobre su predominancia de las búsquedas online y otra sobre Google Ads.

En 2022, Google compró Mandiant por 5.4 millones de dólares. La compra de Wiz es la más grande de una empresa de ciberseguridad hasta el momento.

Proponen nuevas medidas de seguridad para los cables submarinos

La Comisión Federal de Comunicaciones (FCC) de Estados Unidos propuso nuevas medidas de ciberseguridad para los operadores de cables submarinos, elemento fundamental de la infraestructura crítica de internet a nivel global.

Certificaciones. La entidad plantea requerimientos mínimos de gestión de riesgos y certificaciones de “compliance” antes de emitir nuevas licencias. La propuesta incluye la obligación de presentar informes cada tres años sobre el estado de las licencias para instalar cables, que en la actualidad se encuentra en una ventana de 25 años.

Empresas “peligrosas”. La FCC quiere prohibir que empresas consideradas “amenazas para la seguridad nacional” no puedan instalar cables: Huawei, China Telecom y China Mobile, entre otras.

Microsoft descubre un nuevo malware usado para robos cripto

Microsoft descubrió un nuevo troyano de acceso remoto (RAT) denominado StilachiRAT, que representa una amenaza para la seguridad de las criptomonedas y la información personal de los usuarios.

Target. StilachiRAT está diseñado para atacar específicamente a usuarios de criptomonedas, enfocado en robar datos de 20 extensiones de wallets en Google Chrome. Entre ellas, MetaMask, Trust Wallet, Coinbase Wallet y OKX Wallet.

Malware. El programa, además, puede extraer información del portapapeles, como contraseñas y claves privadas, y recopilar detalles del sistema, incluyendo identificadores de hardware y sesiones activas de escritorio remoto (RDP).

Evasión y persistencia. El malware utiliza métodos avanzados para evitar la detección, como borrar registros de eventos y detectar si está siendo analizado en entornos aislados. Además, se asegura de mantenerse activo en el sistema, reiniciándose automáticamente si se intenta detenerlo.

Hackean un teléfono de la presidenta de México

La presidenta mexicana, Claudia Sheinbaum, admitió que un teléfono viejo fue hackeado y que lograron acceder a su cuenta de correo.

Contexto. El New York Times reportó el domingo pasado que el teléfono de la mandataria había sido comprometido después de que el gobierno de Sheinbaum extraditara a 29 narcotraficantes a Estados Unidos el 27 de febrero.

Sheinbaum reveló que el teléfono fue un regalo de la exsenadora y exgobernadora de Campeche, Layda Sansores.

El hackeo. El número asociado al teléfono comprometido -uno privado que utilizaba antes de asumir el cargo el pasado octubre- se había filtrado en las redes sociales durante su campaña presidencial, dijo la presidenta.

Apple se comunicó con el departamento de transformación digital de México, que está al tanto del hackeo, y que se tomaron medidas para restaurar el teléfono y el correo electrónico hackeados.

Comprometen la cuenta de X del diputado nacional José Luis Espert

La cuenta de X (Twitter) del diputado nacional argentino José Luis Espert fue comprometida durante el miércoles. En un tuit, Espert difundía la criptomoneda $LIBRA, que fue promocionada por el presidente argentino Javier Milei hace cerca de un mes y le valió diversas críticas desde todo el arco político.

El hackeo. Espert publicó un mensaje en el que difundía una dirección asociada a $LIBRA. Desde su espacio político, diversos allegados empezaron a tuitear advirtiendo que la cuenta había sido comprometida.

Qué hackearon. Durante la mañana del jueves, Espert subió desde su cuenta un video donde se lo ve sosteniendo un cartel para verificar su identidad, mientras alegaba que no había sido hackeado y que seguía firme en promocionar libra.

El tuit fue borrado a la media hora y despertó interrogantes entre sus seguidores, que se preguntaban cómo el atacante había logrado obtener acceso a un video de verificación de Twitter.

Lo más factible es que el compromiso no haya sido sólo a su cuenta de X sino a su cuenta personal, desde donde el atacante puede haber levantado un video que Espert grabó con su teléfono celular y almacenó en su galería (que se sincroniza con Cloud).

Black Basta tiene su propio bruteforcer

El grupo de ransomware Black Basta desarrolló su propia herramienta para brute-forcear accesos a sistemas y redes VPN.

Cómo. Según un reporte de la compañía de ciberseguridad EclecticIQ, la herramienta, llamada Bruted, fue escrita en PHP y apuntaba a atacar por fuerza bruta páginas RDWeb Microsoft y dispositivos de Cisco, SonicWall, Fortinet, Citrix y otros.

Relevancia. El estudio pone sobre la mesa un escenario donde los grupos de cibercriminales no dependen de herramientas de terceros, sino que tienen el músculo para desarrollar las suyas propias. Esto permite un grado más alto de personalización y técnicas más refinadas de evasión de detecciones.

No es atípico que esto suceda, pero la información fue extraída de los chats filtrados que, cada semana, aportan más datos sobre las TTP del grupo.

🔓 Breaches y hacks

• El buscador chino Baidu niega un data breach

• La campaña de malware DollyWay breachea 20 mil sitios de WordPress

• Roban 6.2 millones en cripto de la blockchain Wemix

🔒 Ransomware

• Un ransomware tira abajo el sistema de salud de Micronesia

• Edesur República Dominicana, atacado por Hunters International

• Akira atacó Machu Picchu Foods en Perú

💣 Exploits y malware

• Una acción popular de GitHub está apuntada en un nuevo supply chain

• Bitdefender encuentra 330 aplicaciones maliciosas en Google Play

• Explotan una vulnerabilidad de Tomcat

🔍 Threat intel y vulnerabilidades

• Malwarebytes advierte sobre conversores online que instalan malware

• Análisis técnico de LockBit Green

• Reportes: Flashpoint, Red Canary, Dashlane.

🛠️ Tools y updates

• TikTok lanza un nuevo “security checkup”

• El sandbox de ANY.RUN ahora soporta Android

• WEBCAT, un proyecto para verificar sitios antes de que carguen

📋 Privacidad y regulaciones

• Meta demanda a NSO por robos de cuenta de WhatsApp

• Pavel Durov, fundador de Telegram, pudo irse de Francia pero sigue bajo investigación

• Oracle aparece como el candidato para tomar las operaciones de TikTok en EE.UU.

Share