Noticias de seguridad

La falla de Thunderbolt conduce a la hazaña Thunderspy

Avast Security News Team, 15 mayo 2020

Además, una advertencia del FBI a los investigadores de COVID-19 y un ataque de ransomware en una red de salud Fortune 500

Björn Ruytenbe, un investigador de seguridad holandés en la Universidad Tecnológica de Eindhoven, reveló detalles esta semana de un nuevo ataque que descubrió que explota una vulnerabilidad en el puerto común Intel Thunderbolt que se encuentra en millones de PC en todo el mundo. El ataque, llamado Thunderspy, tarda menos de 5 minutos en realizarse, pero debe ejecutarse en persona, ya que el hacker necesita acceso físico a la computadora portátil objetivo. Los investigadores llaman a este tipo de ataque un "ataque malvado". 

"Todo lo que el ataque malvado necesita hacer es desenroscar la placa posterior, conectar un dispositivo momentáneamente, reprogramar el firmware, volver a colocar la placa posterior y así tiene acceso completo a la computadora portátil", dijo Ruytenbe a Wired (sitio en inglés). El ataque puede tener éxito incluso cuando la computadora portátil está inactiva o bloqueada, y la falla no se puede reparar con ninguna actualización de software. Cambiar la configuración de seguridad del puerto Thunderbolt tampoco hace una diferencia ya que el ataque desactiva esa configuración. La única protección de Thunderspy es apagar la computadora portátil cuando no está en uso o desactivar el puerto Thunderbolt. En cuanto a erradicar la falla por completo, Ruytenbe solo ve una solución. "Básicamente tendrán que hacer un rediseño de silicio", dijo. 

"Esta es una vulnerabilidad que para ser explotada necesita acceso físico a la computadora", comentó el evangelista de seguridad de Avast, Luis Corrons. “El escaneo de huellas digitales, las contraseñas e incluso el cifrado del disco duro son inútiles en este caso particular. Deshabilitar el puerto Thunderbolt del BIOS cerrará la puerta a este ataque. Esto es algo que todos los usuarios deberían hacer cuando dejan sus computadoras en lugares donde otras personas podrían tener acceso, como habitaciones de hotel ".

El FBI advierte sobre hackers chinos que roban investigación de COVID-19

El FBI y la CISA emitieron un anuncio de servicio público (sitio en inglés) esta semana para advertir a las instalaciones de investigación de EE. UU. Que se ha observado a grupos de piratería afiliados a la República Popular de China (RPC) que intentan obtener de manera ilícita información no publicada relacionada con las vacunas, tratamientos y pruebas de COVID-19. El PSA afirma que el robo de esta información podría poner en peligro la eficacia y la eficiencia de las opciones de tratamiento que se están desarrollando. Las recomendaciones proporcionadas por las agencias para bloquear el pirateo incluyen parchear todos los sistemas en busca de vulnerabilidades críticas y proceder con el conocimiento de que la atención prestada en una organización de investigación probablemente conducirá a un mayor interés de otras entidades. 

Magellan Health golpeó con ransomware

La compañía Fortune 500, Magellan Health, envió una notificación (sitio en inglés) a las personas afectadas esta semana sobre un ataque de ransomware a los servidores de la compañía que ocurrió el 11 de abril de 2020. Los atacantes violaron los sistemas de Magellan con un correo electrónico de phishing que se hizo pasar por un cliente el 6 de abril, indica la notificación. Una investigación reveló que un subconjunto de datos fue robado de un servidor corporativo de Magellan que contenía datos de empleados de Magellan, que incluye nombres, direcciones, detalles de impuestos, números de Seguro Social y, en algunos casos, nombres de usuario y contraseñas. Magellan Health informó a las víctimas que continúa trabajando con el FBI para investigar el ataque y que desde entonces ha reforzado sus protocolos de seguridad. 

Zoom y otras plataformas de videoconferencia falsificadas

Los investigadores han notado que se han registrado docenas de dominios maliciosos relacionados con Zoom en las últimas tres semanas, y cientos de otros que consideraron "sospechosos". Un nuevo informe descrito en The Verge (sitio en inglés) afirma que los hackers han estado registrando dominios haciéndose pasar por URL para Zoom, Microsoft Teams y Google Meet desde que comenzó la crisis de COVID. Lo más probable es que las URL maliciosas estén destinadas a engañar a los usuarios para que descarguen malware o compartan información personal sin darse cuenta. El mismo informe cibernético también advirtió sobre correos electrónicos de phishing que se hacen pasar por la Organización Mundial de la Salud (OMS), solicitando que se envíen donaciones a varias billeteras bitcoin comprometidas conocidas. Para obtener más información, consulta la página de ciberseguridad de la OMS (sitio en inglés). 

El 'must-read' de esta semana en el blog de Avast

¿Te preocupa ser el soporte técnico de tus padres o abuelos desde lejos? Obtén más información aquí sobre cómo apoyarlos sin verlos.