Asociación Valenciana de Informática Sanitaria
incibeb
SuperCard X: malware de Android que utiliza NFC para robar tarjetas de crédito
En un reciente informe del equipo de Inteligencia de Amenazas de Cleafy, se ha descubierto una nueva variante de malware conocida como SuperCard X, la cual realiza un ataque sobre la comunicación de campo cercano (NFC) para ejecutar transacciones no autorizadas en sistemas de punto de venta (TPV) y cajeros automáticos. Este malware está basado en Android y ha sido identificado como parte de una campaña de fraude dirigida a Italia.
El malware SuperCard X se aprovecha de la tecnología NFC, permitiendo al atacante interceptar y retransmitir comunicaciones NFC desde dispositivos comprometidos. Para ello, el atacante engaña a las víctimas mediante tácticas de ingeniería social a través de SMS y llamadas telefónicas para que descarguen una aplicación maliciosa que captura los datos de la tarjeta de pago cuando ésta se encuentra cerca del dispositivo infectado. Estos datos se transmiten en tiempo real a través de una infraestructura de mando y control (C&C) a un dispositivo controlado por el atacante, lo que permite el cobro fraudulento inmediato. Además, la comunicación, utiliza el protocolo HTTP con TLS para cifrar y autenticar las conexiones, evitando accesos no autorizados a la infraestructura C&C.
Una de las características más destacables de SuperCard X es su baja tasa de detección por parte de soluciones y herramientas antivirus. Esto se debe a que el malware se centra en la captura de datos NFC, lo que permite al atacante acceder a los fondos robados de forma instantánea y potencialmente fuera de los canales de fraude tradicionales que suelen implicar transferencias bancarias.
Referencias- 21/04/2025 bitlifemedia.com Así funciona ‘SuperCard X’, el malware invisible que vacía tus cuentas con un toque NFC
- 19/04/2025 bleepingcomputer.com New Android malware steals your credit cards for NFC relay attacks
- 19/04/2025 gbhackers.com New Android SuperCard X Malware Uses NFC-Relay Technique for POS & ATM Transactions
- 18/04/2025 cleafy.com SuperCard X: exposing a Chinese-speaker MaaS for NFC Relay fraud operation
Filtración de datos sobre instituciones marroquíes aumenta las tensiones políticas con Argelia
El 8 de abril de 2025, el actor de amenazas Jabaroot, publicó en BreachForums datos confidenciales extraídos de la Tesorería Nacional de la Seguridad Social (CNSS) de Marruecos. El conjunto de datos filtrados incluye más de 53.000 archivos que contienen registros detallados de casi medio millón de empresas y cerca de 2 millones de empleados. Los documentos incluyen datos como afiliación a empresas, números de identificación de los empleados, salarios e información de contacto. Además, la mayoría de los datos parecen haber quedado expuestos en texto claro en servidores comprometidos.
Según las declaraciones realizadas por el actor Jabaroot, la filtración de CNSS parece estar motivada como una respuesta política. Jabaroot afirma que el ataque se llevó a cabo como represalia a otro ataque anterior a la cuenta de X (antiguo Twitter) del Servicio de Prensa Argelino, un suceso atribuido a actores de amenazas afiliados a Marruecos. En ese incidente, la cuenta fue rebautizada como “Sahara Marocain”, en referencia a la larga disputa geopolítica entre Marruecos y Argelia por la región del Sáhara Occidental. Esa cuenta de X fue suspendida posteriormente tras una amplia cobertura mediática.
Poco después de anunciar la filtración de CNSS, Jabaroot compartió contenido adicional en Telegram, incluida una captura de pantalla que supuestamente mostraba un defacement sobre el sitio web del Ministerio de Trabajo marroquí. El actor declaró que este nuevo ataque formaba parte de una campaña más grande con la intención de responder a otros incidentes que habían sido realizado por grupos de hackers marroquíes contra instituciones argelinas.
Esta actividad subraya cómo los ciberataques se utilizan cada vez más como herramientas de mensajería política, difuminando las líneas entre el hacktivismo y las represalias alineadas con ciertos Estados en un contexto regional. Las relaciones entre Marruecos y Argelia se han mantenido tensas y enfrentadas en los últimos años, marcadas por el agravamiento de las disputas políticas y territoriales. En agosto de 2021, Argelia rompió sus relaciones diplomáticas con Marruecos, lo que provocó el cierre del espacio aéreo, la interrupción de gasoductos y la imposición de visados a los ciudadanos marroquíes.
Referencias- 09/04/2025 larazon.es Hackers argelinos realizan un ataque sin precedentes a instituciones marroquíes
- 10/04/2025 elconfidencial.com El holding real de Mohamed VI, golpeado por el mayor ciberataque en Marruecos desde 2014
- 11/04/2025 therecord.media Morocco investigates major data breach allegedly by Algerian hackers
- 09/04/2025 le360.ma Une cyberattaque revendiquée par des hackers algériens met à nu la vulnérabilité de la CNSS
Acceso no autorizado a los emails de altos cargos del regulador bancario de EE.UU.
Un grupo de hackers ha accedido a información sensible tras penetrar en el sistema de correo electrónico utilizado por la Oficina del Interventor de la Moneda (OCC) de Estados Unidos. La OCC notificó el martes 8 de abril al Congreso un incidente grave de seguridad que se anunció por primera vez en febrero. Esta agencia es una oficina independiente dentro del Departamento del Tesoro que regula todos los bancos estadounidenses, las asociaciones federales de ahorro y las sucursales de bancos extranjeros.
La OCC descubrió que el acceso no autorizado a los correos electrónicos de varios de sus ejecutivos y empleados incluía información muy sensible relativa a la situación bancaria de las instituciones financieras reguladas por el Gobierno federal, utilizada en sus exámenes y procesos de supervisión. Los hackers, aún sin identificar, tuvieron acceso a las cuentas de correo electrónico de unos 100 altos funcionarios y más de 150.000 correos electrónicos que datan de junio de 2023.
Para gestionar el incidente, la OCC contrató a expertos en ciberseguridad de la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA). La primera detección del incidente fue el 11 de febrero, cuando se vieron interacciones inusuales entre una cuenta administrativa del sistema en su entorno de automatización de oficinas y los buzones de correo de los usuarios de la OCC. Ante este descubrimiento, al día siguiente se aislaron los sistemas afectados, se desactivaron las cuentas de los usuarios comprometidos y se bloqueó el acceso no autorizado.
Referencias- 13/04/2025 escudodigital.com Hackers acceden a los emails de un centenar de reguladores bancarios de EE.UU.
- 08/04/2025 occ.gov OCC Notifies Congress of Incident Involving Email System
- 09/04/2025 therecord.media US banking regulator reports on ‘major’ cyber incident involving senior officials’ emails
- 09/04/2025 cyberscoop.com Treasury bureau notifies Congress that email hack was a ‘major’ cybersecurity incident
- 09/04/2025 nextgov.com Treasury regulatory office reports ‘major information security incident’
El servicio de correos británico Royal Mail sufre filtración de datos
El 2 de abril de 2025, el actor conocido como GHNA, ha publicado en el foro cibercriminal BreachForums 144 GB de datos robados de Royal Mail Group. En la publicación se adjuntaron 293 carpetas y 16.549 archivos para descargar gratuitamente. Entre los datos anunciados, se incluye información personal de clientes, documentos confidenciales, grabaciones de vídeo de reuniones internas de Zoom, ubicación de entregas, bases de datos, listas de correo, entre otra información sensible.
El origen de la filtración ha sido a través del proveedor de servicios externo Spectos GmbH, empresa dedicada a la monitorización y logística del servicio de correos. Al igual que había ocurrido con la filtración de Samsung del 30 de marzo, GHNA accedió a la infraestructura de Spectos utilizando las credenciales robadas a un empleado en 2021, después de ser infectado con el infostealer Racoon. La información de inicio de sesión y credenciales de esta cuenta no se actualizaron, lo que provocó que el ciberdelincuente pudiera extraer la información.
Según la investigación realizada por HudsonRock, plataforma dedicada al análisis de la ciberseguridad de infostealers, la filtración de Royal Mail Group, pone de manifiesto los riesgos en cascada de los ataques a la cadena de suministro. Las consecuencias de este incidente podrían incluir el robo de identidad, campañas de phishing y daños a la reputación. Por ejemplo, la filtración de listas de correo incrementa el riesgo de amenazas, ya que los atacantes pueden aprovechar la Inteligencia Artificial para realizar ataques de ingeniería social dirigidos.
Referencias- 02/04/2025 bleepingcomputer.com Royal Mail investigates data leak claims, no impact on operations
- 02/04/2025 infostealers.com Royal Mail Group Loses 144GB to Infostealers: Same Samsung Hacker, Same 2021 Infostealer Log
- 03/04/2025 bitdefender.com Royal Mail Investigating Alleged Security Breach Following Third-Party Cyber Attack
- 05/04/2025 escudodigital.com El Correos británico sufre una filtración de datos de 144 GB
Filtración de datos con más de 665.000 estudios médicos en Argentina
El grupo cibercriminal D0T CUM, ha puesto a la venta resultados de 665.128 estudios médicos extraídos del proveedor Informe Médico, el cual tienen contratado 30 clínicas, sanatorios y hospitales en Argentina. La publicación ha sido anunciada en foros de cibercriminales dedicados a comercializar con información sensible y filtraciones. Este incidente ha sido detectado el 4 de abril por Birmingham Cyber Arms LTD, plataforma dedicada en la inteligencia de amenazas de ciberseguridad.
Informe Médico, es una desarrolladora de sistemas de almacenamiento y distribución de imágenes médicas, además de proveer otras herramientas de gestión médica. Los estudios publicados corresponden a distintos tipos de datos médicos que van desde imágenes de radiografías, ecografías, tomografías, a pruebas en laboratorio de análisis generales y pruebas específicas, e incluso casos de estudios de carácter más íntimo. Todos estos estudios incluyen la información personal de los pacientes y profesionales involucrados.
Una vez realizado el robo de datos, el grupo cibercriminal ha tratado de extorsionar a las entidades afectadas, intentando sacar un beneficio económico a cambio de no publicar los datos sustraídos. Al tratarse de información médicas, estas pueden llegar a tener un gran valor en el mercado, ya que incluyen información privada de clientes. Estafadores dedicados a ataques de ingeniería social, como phishing o cualquier tipo de fraude, son los principales compradores de esta clase de información.
Referencias- 04/04/2025 clarin.com Hackean “Informe Médico”, un proveedor de software de Argentina y venden resultados de estudios de pacientes
- 06/04/2025 facundoquiroga.com Filtraron más de 665 mil estudios médicos tras un ciberataque a proveedor del sistema de salud
- 05/04/2025 sudoesteba.com Inseguridad informática: hackean más de 665 mil estudios médicos. Es la filtración de datos de salud más grande del país
- 04/04/2025 x.com Anuncio de la filtración por parte de Birmingham Cyber Arms LTD
Filtración de datos en Samsung roba hasta 270.000 registros de sus clientes
El 30 marzo de 2025, el gigante tecnológico Samsung ha sido víctima de una filtración de datos de sus clientes. Entre ella, se ha identificado información personal como nombres, direcciones postales y de correo electrónico, y también información sobre transacciones, números de pedido, URL de seguimiento, interacciones de soporte y la comunicación entre clientes y Samsung.
El autor de la filtración GHNA, ha publicado aproximadamente 270.000 registros de clientes supuestamente robados del sistema de tickets de soporte de Samsung Alemania. GHNA accedió a la infraestructura de este sistema utilizando las credenciales robadas a un empleado en 2021, después de ser infectado con el infostealer Racoon. La cuenta robada, pertenecía al servicio Spectos GmbH de Samsung, el cual es utilizado para monitorizar y mejorar la calidad del servicio de soporte.
Desde 2021, la información de inicio de sesión y credenciales de esta cuenta no se actualizaron. Este error de seguridad fue lo que provocó que se pudieran volcar 270.000 registros de clientes en Internet recientemente. De esta forma, los datos filtrados podrían utilizarse como parte de varios tipos de ataques, entre ellos, el phishing selectivo a clientes específicos, la apropiación de cuentas mediante la suplantación de la identidad del servicio de atención al cliente o fraudes como reclamaciones de garantía falsas.
Referencias- 03/04/2025 escudodigital.com Samsung sufre una filtración de datos de 270.000 registros de clientes
- 31/03/2025 forbes.com Infostealer Strikes Samsung — 270,000 Records Stolen
- 31/03/2025 securityweek.com Hacker Leaks Samsung Customer Data
- 30/03/2025 infostealers.com Samsung Tickets Data Leak: Infostealers Strike Again in Massive Free Dump
- 02/04/2025 esecurityplanet.com Hacker Leaks 270,000 Samsung Customer Records—Stolen Credentials Were Left Unchecked for Years
Desmantelado un call center en Alicante que ha podido estafar más de 2 millones de euros
La Policía Nacional ha desmantelado un call center en Alicante desde donde se realizaban diferentes tipos de fraudes como la extorsión del sicario y la estafa del hijo en apuros. Se han detenido 73 personas que formaban parte de la organización criminal, las cuales actuaban como captadores, extractores, “mulas” y “voces”.
En la operación policial se han realizado un total de 22 registros simultáneos en Valencia, Barcelona y Alicante, en los que se han intervenido alrededor de 250.000 euros, armas de fuego, machetes y se ha logrado el bloqueo de 129 cuentas bancarias, tres viviendas y más de 20 vehículos. Los agentes hallaron un call center que funcionaba 24 horas al día ubicado en una vivienda de la localidad de Benissa (Alicante) desde donde llevaban a cabo toda la actividad logística. Había multitud de teléfonos, dispositivos electrónicos y siete personas trabajando en el interior, entre ellos el líder de la organización.
El procedimiento de la extorsión del sicario consistía en publicar anuncios falsos en páginas de contactos difundiendo servicios sexuales de mujeres utilizando imágenes que obtenían de fuentes abiertas a través de Internet. Los anuncios contenían mensajes sensuales y atractivos para captar a clientes ofreciendo un número de teléfono de la supuesta chica. Una vez se establecía el primer contacto, conseguían el número de teléfono con el que posteriormente amenazaban a las víctimas con intimidaciones extremas a través del envío de imágenes muy violentas, exigiendo pagos tanto por transferencia como por sistemas de pago instantáneos.
Los investigadores de la Policía descubrieron que también estaban cometiendo la estafa del hijo en apuros de manera masiva. Con este método se hacían pasar por los hijos de las víctimas, a través de mensajería, simulando que escribían desde el teléfono de un amigo para solicitar dinero urgentemente al haber sufrido una emergencia ante la que estaban incomunicados.
Se estima que podrían existir más de 2.000 víctimas afectadas en base a las denuncias recibidas, y que los estafadores podrían haber obtenido más de 2 millones de euros.
Referencias- 26/03/2025 interior.gob.es La Policía Nacional desmantela un call center en Alicante desde donde se realizaban las estafas del “sicario” y del “hijo en apuros”
- 26/03/2025 elmundo.es La Policía desmantela un 'call center' que estafó a más de 2.000 personas con el 'timo del sicario' y del 'hijo en apuros'
- 26/03/2025 larazon.es La Policía desmantela un "call center" donde hacían estafas de "la extorsión del sicario"
Fuga de información en California Cryobank
California Cryobank (CCB), gran empresa de donación de esperma en Estados Unidos, ha notificado recientemente a sus clientes de que ha sufrido una filtración de datos que ha expuesto la información personal de los mismos. California Cryobank detectó evidencias de actividad sospechosa en su red que habían ocurrido el 20 de abril de 2024 y aisló los ordenadores de la red informática.
Este incidente fue detectado por la propia empresa el 4 de octubre de 2024. A partir de ahí, se realizó una investigación en la que sea ha descubierto que el ataque expuso diversos datos personales de miles de clientes, incluyendo nombres, cuentas bancarias y números de ruta, números de la Seguridad Social, números de carné de conducir, números de tarjetas de pago y/o información sobre seguros médicos. Por ello, la empresa notificó a sus clientes que se habría producido un acceso no autorizado que consiguió archivos sensibles almacenados en sus sistemas.
Después de este suceso, el 20 de marzo de 2025, se ha interpuesto una demanda que indica que Cryobank no protegió ni aseguró suficientemente la información personal y sanitaria de sus pacientes. Se alega negligencia, incumplimiento de contrato implícito y enriquecimiento injusto, así como infracciones de la Ley de Competencia Desleal de California y de la Ley de Confidencialidad de la Información Médica. Además, el demandante solicita la certificación colectiva para incluir a otras personas afectadas por la filtración de datos.
Referencias- 18/03/2025 bleepingcomputer.com Sperm donation giant California Cryobank warns of a data breach
- 21/03/2025 news.bloomberglaw.com California Sperm Bank Sued After Disclosing Patient Data Breach
- 19/03/2025 ciberninjas.com Banco de Esperma USA advierte de Brecha de Datos que expondría la Información Personal de sus Clientes
- 19/03/2025 gbhackers.com US Sperm Donor Giant California Cryobank Hit by Data Breach
- 14/03/2025 maine.gov Data breach notification from California Cryobank
T-Mobile acuerda un pago millonario a sus clientes por filtración de datos en EE.UU.
En agosto de 2021, un ataque sobre el operador de red móvil T-Mobile en Estados Unidos, logró comprometer los datos personales de más de 76 millones de clientes. Los datos vulnerados incluían los nombres, direcciones y números de la Seguridad Social de los clientes, entre otros.
Después de que se produjera el ciberataque, se interpuso una demanda colectiva sobre el incidente, en la que participan varias fiscalías y tribunales de EE. UU. La demanda afirma que la violación masiva de datos fue consecuencia directa de la falta de responsabilidad de T-Mobile y de su incumplimiento de las normas de ciberseguridad del sector. Además, se señala que ya se habían producido más incidentes de este tipo en años anteriores.
T-Mobile negó haber cometido delito alguno en la filtración de datos. Sin embargo, al año siguiente aceptó el pago de 350 millones de dólares para resolver la demanda colectiva sobre el incidente, y en 2024 acordó pagar una multa civil de 15,75 millones de dólares para resolver una investigación de la Comisión Federal de Comunicaciones (FCC) sobre esta y otras filtraciones de datos anteriores.
De los 350 millones de dólares que T-Mobile acordó pagar, empezará a llegar a los clientes e 1 de abril de 2025. De ese fondo, cada cliente que hubiera enviado la reclamación podría percibir hasta 25.000 dólares en función del nivel de daño causado.
Referencias- 14/03/2025 semana.com Escándalo en telefonía de Estados Unidos; ¿quiénes pueden cobrar hasta USD 25.000 por la filtración de datos?
- 07/01/2025 securityweek.com Washington Attorney General Sues T-Mobile Over 2021 Data Breach
- 06/01/2025 atg.wa.gov AG Ferguson files lawsuit against T-Mobile for massive data breach
- 12/03/2025 thehill.com T-Mobile customers to get payments up to $25K next month after data breach: Here’s who qualifies
- 01/04/2025 t-mobilesettlement.com T-Mobile Data Breach Settlement
Grupo de ransomware Akira elude EDR por medio de una cámara web
La empresa de ciberseguridad S-RM ha dado a conocer una nueva táctica de explotación utilizada por el grupo de hackers Akira. En ella se implementó un ransomware mediante una cámara web, y eludiendo el sistema de protección EDR (más conocido antiguamente como antivirus). El incidente fue analizado por la propia empresa S-RM, mientras monitorizaba la red privada de su cliente, víctima de este ataque.
En un primer paso, Akira había accedido al equipo servidor de la víctima por medio de la explotación del servicio de escritorio remoto de Windows. Una vez ganado el acceso, se descarga un archivo ZIP que contiene el binario con el ransomware. En ese momento, el EDR desplegado en el servidor detecta la descarga del archivo y pone en cuarentena el binario identificado como ransomware.
Anulado este primer intento, el atacante escanea la red interna y encuentra una cámara web que tiene un sistema Linux vulnerable y sin protección. De esta forma, obtiene acceso a la cámara y despliega el ransomware. Como este dispositivo no estaba siendo monitorizado, el equipo de seguridad de la organización víctima no se percató del aumento del tráfico malicioso desde la cámara web, lo cual permitió el cifrado de archivos en el servidor eludiendo la protección del EDR.
Debido a este este incidente, se deja constancia de los riesgos derivados de la falta de supervisión y mantenimiento de dispositivos IoT, y de la necesidad de aislar y segmentar las redes para dificultar que los atacantes tengan acceso a equipos más sensibles de la organización.
Referencias- 05/03/2025 s-rminform.com Camera off: Akira deploys ransomware via webcam
- 06/03/2025 bleepingcomputer.com Ransomware gang encrypted network from a webcam to bypass EDR
- 12/03/2025 blog.segu-info.com.ar Ransomware Akira cifró los datos desde una cámara web para evitar el EDR
- 10/03/2025 cybersecuritynews.com Akira Ransomware Attacking Windows Server via RDP & Evades EDR Using Webcam
Campaña de ataque UAC-0212 contra las infraestructuras críticas de Ucrania
El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) ha notificado de una nueva campaña de ataque sobre sus infraestructuras críticas, basándose en un análisis propio sobre ataques dirigidos entre los meses de julio de 2024 a febrero de 2025. Este tipo de campaña se ha relacionado con conocidos grupos de hackers rusos como Sandworm, APT44, Seashell Blizzard. El objetivo principal de estos atacantes es comprometer los sistemas de información y comunicación de las infraestructuras críticas ucranianas.
El método más utilizado por los atacantes como puerta de entrada es establecer comunicación con las empresas, haciéndose pasar por potenciales clientes. Cuando adquieren cierto nivel de confianza con la empresa, envían supuesta “documentación técnica” mediante un enlace hacia un documento PDF. Por medio de este enlace, se explota la vulnerabilidad CVE-2024-38213, haciendo que la víctima descargue un archivo LNK oculto, omitiendo así los mecanismos de protección web de los sistemas Windows. Una vez ejecutado, este archivo activa un comando PowerShell que, mientras muestra el documento PDF, descarga e instala en secreto archivos ejecutables EXE/DLL maliciosos en el equipo víctima.
Para la implementación de estos ataques, CERT-UA ha identificado el uso de herramientas de explotación de software como SECONDBEST, EMPIREPAST, SPARK, CROOKBAG. También se destaca el uso de RSYNC, para poder recopilar información de forma persistente.
Referencias- 23/02/2025 cert.gov.ua Цільова активність UAC-0212 у відношенні розробників та постачальників рішень АСУТП з метою здійснення кібератак на об'єкти критичної інфраструктури України (CERT-UA#13702)
- 24/02/2025 gbhackers.com UAC-0212: Hackers Unleash Devastating Cyber Attack on Critical Infrastructure
- 28/02/2025 strikeready.com RU APT targeting Energy Infrastructure (Unknown unknowns, part 3)
- 24/02/2025 socprime.com UAC-0212 Attack Detection: Hackers Linked to UAC-0002 aka Sandworm APT Subcluster Launch Targeted Attacks Against the Ukrainian Critical Infrastructure
- 24/02/2025 sevenice.net Actividad dirigida UAC-0212
Tarlogic descubre comandos HCI sin documentar en el módulo ESP32 de Espressif
Investigadores de ciberseguridad de la empresa Tarlogic presentaron este pasado 6 de marzo en la conferencia RootedCON celebrada en Madrid, su solución para auditar dispositivos bluetooth. En este contexto, Tarlogic ha detectado 29 comandos no documentados por el fabricante Espressif en el módulo ESP32, un microcontrolador que permite la conexión wifi y bluetooth. El ESP32 es uno de los modelos más usados mundialmente en entornos de redes IoT (Internet de las cosas) y está presente en millones de dispositivos de gran consumo.
Este tipo de comandos específicos del fabricante, pueden utilizarse para leer/escribir memoria RAM y flash, así como para enviar algunos tipos de paquetes de bajo nivel que normalmente no se pueden enviar desde el propio Host, debido a las características propias de estos dispositivos bluetooth. La existencia de este tipo de comandos no presenta un riesgo para la seguridad por sí mismo, pero sí reflejan que existe una mala práctica por parte del fabricante, lo cual facilita que se comprometa la seguridad de estos dispositivos por parte de un actor malintencionado.
A pesar de que no existe riesgo alto, Espressif declaró que compartirá una actualización de software para permitir a los usuarios eliminar estos comandos de depuración.
El caso se ha registrado como la vulnerabilidad CVE-2025-27840.
Referencias- 06/03/2025 tarlogic.com Tarlogic detecta una funcionalidad oculta en el chip de consumo masivo ESP32 que permitiría infectar millones de dispositivos IoT
- 08/03/2025 bleepingcomputer.com Undocumented commands found in Bluetooth chip used by a billion devices
- 10/03/2025 espressif.com Espressif’s Response to Claimed Backdoor and Undocumented Commands in ESP32 Bluetooth Stack
- 09/03/2025 cheriot.org Why the alleged ESP32 backdoor couldn't happen here
- 09/03/2025 darkmentor.com The ESP32 "backdoor" that wasn't
La Agencia Espacial Polaca fuera de servicio tras un ciberataque
En un post publicado en X (Twitter) el domingo 2 de marzo de 2025, la Agencia Espacial Polaca (POLSA), miembro de la Agencia Espacial Europea, anunció que había desconectado su red de Internet y notificado a las autoridades pertinentes un incidente de ciberseguridad.
Una fuente anónima dentro de POLSA declaró que "el ataque parece estar relacionado con un compromiso interno del correo electrónico y que se está diciendo al personal que utilice los teléfonos para comunicarse en su lugar".
El ministro de digitalización de Polonia, Krzysztof Gawkowski, publicó que el ataque fue detectado por los servicios estatales de ciberseguridad, y que la recuperación de la agencia y la investigación posterior contarán con el apoyo de los equipos de respuesta a incidentes de seguridad informática CSIRT NASK y CSIRT MON.
Actualmente la web de POLSA ya se encuentra activa, sin embargo, se sigue investigando la causa del incidente y el grado de compromiso que hayan podido sufrir sus infraestructuras.
Referencias- 04/03/2025 eldebate.com Un ciberataque sobre la Agencia Espacial Polaca desata las dudas en el sector: “La situación está siendo analizada”
- 04/03/2025 bleepingcomputer.com Polish Space Agency offline as it recovers from cyberattack
- 03/03/2025 therecord.media Polish space agency investigates cyberattack on its systems
- 02/03/2025 x.com Publicación del ciberataque por parte del ministro Krzysztof Gawkowski
Informe Kaspersky: 2,3 millones de tarjetas bancarias filtradas en la Dark Web
Kaspersky estima que 2,3 millones de tarjetas bancarias fueron filtradas en la Dark Web entre 2023 y 2024, basándose en un análisis de los archivos de registro de distintos malware de robo de datos conocidos como infostealers. Este tipo de malware no solo roba información financiera, sino también credenciales, cookies y otros datos sensibles, que luego son recopilados y vendidos en la Dark Web.
Se calcula que, aproximadamente, una de cada catorce infecciones de infostealers, da lugar al robo de información de tarjetas de crédito, con casi 26 millones de dispositivos comprometidos por estos agentes maliciosos, de los cuales más de 9 millones solo en 2024.
Redline es el infostealer más extendido de los últimos años, con un 34% del total de infecciones analizadas. Sin embargo, en 2024, se ha detectado un aumento significativo de la variante Risepro. El objetivo principal de este último son los datos de tarjetas bancarias, contraseñas y monederos de criptomonedas, además puede estar propagándose bajo la apariencia de generadores de claves, cracks para diversos programas y mods de juegos.
Referencias- 04/03/2025 kaspersky.com Kaspersky alerta: hackers filtraron 2.3 millones de tarjetas bancarias en la Dark Web
- 04/03/2025 kaspersky.com The evolving threat landscape of infostealers
- 10/03/2025 revistaeyn.media Hackers filtraron 2,3 millones de tarjetas bancarias en la Dark Web
- 06/03/2025 itdigitalsecurity.es Más de 2 millones de tarjetas bancarias filtradas en dos años
El mayor robo de criptomonedas de la historia: Hackers sustraen 1.500 millones de dólares de Bybit
El 21 de febrero de 2025, la plataforma de intercambio de criptomonedas Bybit sufrió el mayor robo de criptomonedas de la historia, perdiendo casi 1.500 millones de dólares en Ethereum. Los hackers lograron vulnerar una de sus carteras frías, normalmente consideradas seguras, accediendo a los fondos y dispersándolos en múltiples billeteras para dificultar su rastreo. De esta manera, cuando el dinero estaba fuera de la billetera fría y conectado a una caliente, con la cual se opera en el mercado, fue cuando consiguieron desviar los fondos. Transfirieron cantidades que rondaban los 10.000 dólares a múltiples billeteras. Una vez realizado el hackeo, cerraron y desaparecieron sin dejar rastro.
Investigaciones preliminares del FBI vinculan el ataque al grupo Lazarus, una organización de ciberdelincuentes del gobierno de Corea del Norte, que ha ejecutado robos similares en el pasado para financiar actividades estatales.
El incidente ha provocado una caída del 4% en el valor de Ethereum y ha intensificado el debate sobre la seguridad en los intercambios centralizados. Bybit ha ofrecido recompensas para recuperar los fondos y está colaborando con autoridades y expertos en ciberseguridad para reforzar sus sistemas de protección.
Referencias- 22/02/2025 bbc.com Hackers realizan "el mayor robo en la historia de las criptomonedas" al sustraer US$1.500 millones de la empresa global Bybit
- 25/02/2025 eldiario.es El mayor 'cripto-robo' de la historia: unos hackers se hacen con 1.500 millones de dólares en Ethereum
- 25/02/2025 lasexta.com El mayor robo de la historia: unos hackers sustraen 1.400 millones de dólares en criptomonedas
- 23/02/2025 theguardian.com Hackers steal $1.5bn from crypto exchange in ‘biggest digital heist ever’
Tailandia corta el suministro eléctrico en diferentes zonas para combatir las redes de ciberestafas
El pasado miércoles 5 de febrero, las autoridades de Tailandia suspendieron el suministro eléctrico en cinco puntos limítrofes con Birmania como parte de su estrategia para lucha contra las bandas que incurren en delitos de estafa a través de internet y llamadas telefónicas.
Esta medida se ha activado ante el aumento de presuntas bandas de estafadores, que son lideradas por criminales que obligan a migrantes víctimas del tráfico de personas a trabajar para ellos.
Anutin Charnvirakul, ministro del Interior del país, detalló que la interrupción de la energía se llevó a cabo en zonas como Mae Sai, Mae Sot y tres zonas del Paso de las Tres Pagodas, conforme a las pautas del Consejo Nacional de Seguridad. Esta medida se anticipa al desplazamiento de la primera ministra, Paetongtarn Shinawatra, a China para tratar el conflicto con el presidente Xi Jinping.
A fecha de la publicación de esta información, la policía tailandesa ha deportado a 10 ciudadanos chinos vinculados al presunto secuestro de un actor que fue rescatado en uno de estos centros de fraude cibernético en Myanmar.
Referencias- 05/02/2025 europapress.es Tailandia corta el suministro eléctrico en zonas cercanas a la frontera con Birmania para combatir a las redes de estafa
- 05/02/2025 abc.es Tailandia corta la electricidad en cinco puntos limítrofes con Birmania para luchar contra los centros de ciberestafa
- 05/02/2025 vietnam.vn Tailandia corta el suministro eléctrico en la zona fronteriza con Myanmar para evitar estafas
- 11/02/2025 genbeta.com Tailandia ha cortado la luz a toda una ciudad para frenar la mayor operación de ciberestafas del mundo. Aloja miles de esclavos
- 15/02/2025 spacedaily.com Tailandia deporta a China a 10 personas vinculadas a un caso de fraude cibernético
Detectados datos de personales supuestamente de la Guardia Civil y del Ministerio de Defensa en la dark web
Recientemente se ha identificado en la dark web una filtración de aproximadamente 160.000 datos que podría pertenecer a miembros de la Guardia Civil, las Fuerzas Armadas y el Ministerio de Defensa de España. Esta filtración podría estar vinculada a un ataque de ransomware ocurrido en marzo de 2024 contra Medios de Prevención Externos Sur SL, una empresa subcontratada para realizar reconocimientos médicos. Los datos comprometidos incluyen nombres, correos electrónicos, identificadores profesionales, fechas de nacimiento y resultados médicos.
Los ciberdelincuentes podrían haber publicado tres bases de datos distintas: dos con datos pertenecientes a 109,000 miembros de la Guardia Civil, mientras que la tercera estaría asociada al Ministerio de Defensa incluyendo aproximadamente 84,000 registros. El Centro de Sistemas y Tecnologías de la Información y las Comunicaciones (CESTIC), organismo adscrito al Ministerio de Defensa, está llevando a cabo una investigación para confirmar la autenticidad de los datos y determinar el alcance de la filtración.
Expertos advierten que la divulgación de esta información podría ser utilizada para realizar ataques dirigidos de phishing, suplantación de identidad u otras amenazas contra la integridad de los afectados, lo que eleva el nivel de alerta en las instituciones relacionadas.
Referencias- 16/01/2025 eldiario.es El Gobierno investiga una filtración masiva que ha expuesto la identidad de 160.000 guardias civiles y personal de Defensa
- 16/01/2025 xataka.com La identidad de 160.000 miembros de la Guardia Civil y del Ministerio de Defensa se ha filtrado online, según elDiario.es
- 16/01/2025 elpais.com Defensa investiga un ciberataque que expone datos personales de decenas de miles de militares y guardias civiles
- 16/01/2025 genbeta.com Los datos de 160.000 miembros de la Guardia Civil y del Ministerio de Defensa, disponibles en la 'dark web', según elDiario.es
- 16/01/2025 antena3.com El Gobierno estudia una filtración de datos de 160.000 miembros la Guardia Civil, las Fuerzas Armadas y el Ministerio de Defensa
