El equipo de Sophos Labs ha encontrado un nuevo tipo de ransomware escrito en Python 3.9, el cual utiliza una curiosa forma de saltarse ciertas medidas de seguridad contra el ransomware: en vez de cifrar los ficheros utilizando herramientas propias, utiliza una versión freeware de WinRAR para cifrar los ficheros a un nuevo fichero con contraseña, después cifrar dicha clave y finalmente eliminar los ficheros originales.
Para los dispositivos MacOS, los delincuentes utilizaban un conocido «exploit» que permitía realizar una ejecución remota de código (CVE-2021-1789) para después realizar un segundo 0-day no público con la finalidad de escalar privilegios en el equipo de la víctima (CVE-2021-30869).
Según señala la compañía no hay indicios de que se hayan extraído datos sensibles, como contraseñas, cuentas bancarias o registros de llamadas. «No tenemos evidencias que se haya ejecutado ningún tipo de explotación de los datos afectados y queremos pedir disculpas por las molestias que esta situación pueda ocasionar».
Este final del ciclo de vida implica que a partir de esa fecha Microsoft no estará enviando actualizaciones de seguridad relevantes para nuevas vulnerabilidades, que dejará de brindar soporte técnico, y que tampoco distribuirá otras actualizaciones que mejoren la calidad del sistema o agreguen nuevas funcionalidades. Por lo tanto, se recomienda que para esa fecha los usuarios hayan actualizado sus equipos a la versión 21H1 de Windows o Windows 11.
El HTML smuggling (¿contrabando?) es un enfoque que permite a un atacante “contrabandear” droppers de primera etapa, a menudo scripts maliciosos codificados incrustados en archivos adjuntos HTML especialmente diseñados o páginas web, en una máquina víctima aprovechando las funciones básicas de HTML5 y JavaScript en lugar de explotar una vulnerabilidad o un defecto de diseño en los navegadores web modernos.
El deseo de interceptar, debilitar y eludir el cifrado nunca ha sido mayor. Si bien esto rara vez da como resultado ataques directos contra algoritmos o protocolos criptográficos, a menudo lleva a los atacantes a pensar en formas creativas de interceptar o capturar información antes o después de que se haya cifrado. Con estos riesgos siempre presentes, nunca ha sido más importante centrarse en configuraciones HTTPS sólidas y actualizadas, especialmente cuando los certificados digitales se comparten entre diferentes servicios.
Las primeras fallas en la página se registraron alrededor de las 10:30 de la noche del miércoles, cuando llegó el primer reporte indicando la caída de uno de los servidores, alertando al DANE de estar sufriendo ataques cibernéticos. Desde ese instante el departamento de seguridad decidió «aislar la infraestructura informática por completo».
La entidad ya puso una denuncia penal ante la Fiscalía General de la Nación. EL TIEMPO tuvo acceso al documento en el que Ricardo Valencia Ramírez, subdirector del Dane, detalló cómo fue el hackeo con el que afectaron la plataforma de la entidad. Así ocurrió.