17.3 C
Madrid
viernes, octubre 24, 2025
spot_img
spot_img
InicioCiberseguridad
Ciberseguridad

Ataque de la cadena de suministro de GitHub, malware de IA, tácticas BYOVD y más

Por Conectamentado
24
Ataque de la cadena de suministro de GitHub, malware de IA, tácticas BYOVD y más

Un ajuste tranquilo en una popular aparejo de código campechano abrió la puerta a una violación de la prisión de suministro, lo que comenzó como un ataque dirigido rápidamente en helicoidal, exponiendo secretos en innumerables proyectos.

Ese no fue el único movimiento sigiloso. Un nuevo malware todo en uno está robando contraseñas, criptografía y control en silencio, mientras se esconde a la tino. Y más de 300 aplicaciones de Android se unieron al caos, ejecutando fraude publicitario a escalera detrás de íconos de aspecto inocente.

Mientras tanto, las pandillas de ransomware se están volviendo más inteligentes, utilizando conductores robados para cerrar las defensas, y los grupos de amenazas están cambiando silenciosamente de acción directa a ganancias. Incluso las extensiones del navegador están cambiando de manos, convirtiendo las herramientas de confianza en amenazas silenciosas.

AI está agregando combustible al fuego, usado por atacantes y defensores, mientras que los errores críticos, las lagunas de las nubes y las sacudidas de privacidad mantienen a los equipos al coto.

Vamos a sumergirnos en las amenazas haciendo ruido detrás de espectáculo.

⚡ Amenaza de la semana

Coinbase El objetivo original de la violación de la prisión de suministro de GitHub Action -El compromiso de la prisión de suministro que involucra la bono de GitHub «TJ-Actions/Change-Files» comenzó como un ataque mucho dirigido contra uno de los proyectos de código campechano de Coinbase, antiguamente de transformarse a poco más generalizado y menos sigiloso. Se sospecha que los atacantes intentan envenenar proyectos de código campechano asociados con Coinbase, en su defecto, montaron una campaña a gran escalera al empujar una interpretación maliciosa de «TJ-Actions/Cambied-Files» que filtró secretos de CI/CD de cualquier repositorio que ejecutó el flujo de trabajo. No está claro cuál era el objetivo final de la campaña, pero la Mecanismo 42 de Palo Detención Networks le dijo a The Hacker News que probablemente estaba motivado financieramente con el objetivo de padecer al robo de criptomonedas.

🔔 Noticiario principales

  • Stilachirat es una cortaplumas suiza de ratas. – Un troyano de llegada remoto sigiloso (rata) llamado Stilachirat ilustra cómo los actores de amenaza están agrupando una amplia variedad de capacidades maliciosas en una sola aparejo. La rata es una cortaplumas suiza para hackers, que incorpora características para el registro extenso del sistema, la resumen de datos, el robo de criptomonedas y el robo de credenciales con mecanismos para evitar la detección y apoyar la persistencia en los sistemas comprometidos. Todavía retrasa la conexión a un servidor extranjero para esfumarse debajo del radar. Microsoft dijo que detectó por primera vez el malware en noviembre de 2024 en ataques limitados, pero el mecanismo de entrega exacto sigue sin estar claro.
  • Más de 300 aplicaciones de Android detrás de la campaña de fraude publicitario -Una campaña de fraude publicitario a gran escalera ha resultado en más de 60 millones de descargas de aplicaciones maliciosas de Google Play Store. Se han descubierto hasta 331 aplicaciones como parte de la campaña activa con nombre en código Vapor. Estas aplicaciones muestran anuncios fuera de contexto e intentan robar credenciales de los servicios en vírgula. Desde entonces, Google ha eliminado las aplicaciones de Google Play Store, pero pueden estar disponibles para descargar desde mercados de aplicaciones de terceros no oficiales.
  • El ransomware de Medusa usa Abyssworker para cegar el software EDR -Los actores de amenaza detrás de la operación Medusa Ransomware-As-A-Service (RAAS) se han observado utilizando un compensador taimado denominado Abysworker como parte de un ataque de Traer su propio compensador débil (BYOVD) diseñado para terminar las herramientas antimalware. Las muestras de controladores están firmadas utilizando certificados probablemente robados y revocados de compañías chinas, lo que le permite dejar de costado las defensas de seguridad. El explicación se produce cuando los cibercriminales están abusando de la plataforma de firma de confianza de Microsoft para firmar ejecutables de malware con certificados de tres días de corta duración.
  • Potranca principal y doce probablemente colaborando para atacar a Rusia – Dos grupos hacktivistas conocidos con nombre en código jaca y doce probablemente están trabajando juntos para atacar a las entidades rusas. Los enlaces se basan en el uso de herramientas de Head Mare previamente asociadas con doce, así como servidores de comando y control (C2) empleados exclusivamente por doce antiguamente de estos incidentes. Los ataques culminaron en el despliegue de Lockbit para Windows y Babuk para Linux (ESXI) a cambio de un rescate.
  • Panda acuática atribuido a la campaña de espionaje de 2022 -El panda acuática alineada por China se ha relacionado con una «campaña entero de espionaje» que tuvo división en 2022 dirigidos a siete organizaciones en Taiwán, Hungría, Turquía, Tailandia, Francia y Estados Unidos. Los ataques que tuvieron división entre enero y octubre de 2022 han sido nombrados en código Operation Fishmedley. El conjunto de intrusos hizo uso de un vector de llegada original aún desconcertado para implementar familias de malware como ShadowPad, Spyder, Sodamaster y un implante C ++ previamente indocumentado llamado RPIPECOMMANDER.

️‍🔥 tendencias cves

A los atacantes les encantan las vulnerabilidades de software: son puertas fáciles en sus sistemas. Cada semana trae fallas frescas, y esperar demasiado para parchar puede convertir un supervisión último en una violación importante. A continuación se presentan las vulnerabilidades críticas de esta semana que necesita conocer. Eche un vistazo, actualice su software de inmediato y mantenga a los atacantes bloqueados.

This week’s list includes — CVE-2025-29927 (Next.js), CVE-2025-23120 (Veeam Backup & Replication), CVE-2024-56346, CVE-2024-56347 (IBM Advanced Interactive eXecutive), CVE-2024-10441 (Synology BeeStation Manager, DiskStation Manager, and Unified Controller), CVE-2025-26909 (WP Ghost), CVE-2023-43650, CVE-2023-43651, CVE-2023-43652, CVE-2023-42818, CVE-2023-46123, CVE-2024-29201, CVE-2024-29202, CVE-2024-40628, CVE-2024-40629 (Jumpserver) y CVE-2025-0927 (Linux Kernel)

📰 aproximadamente del mundo cibernético

  • Lanzamientos de Google ETC Scanner 2 -Google ha anunciado el propagación de una iteración actualizada de OSV-Scanner, su escáner de vulnerabilidad sin cargo para desarrolladores de código campechano. «Esta interpretación de V2 se friso en la almohadilla que establecimos con OSV-Scalibr y agrega nuevas capacidades significativas a OSV-Scanner, por lo que es un escáner de vulnerabilidad integral y una aparejo de remediación con un amplio soporte para formatos y ecosistemas», dijo Google. OSV-Scalibr, una biblioteca GO de código campechano, fue emprendedor por Google a principios de enero.
  • Corea del Ideal establece un nuevo familia de piratería – Según los informes, el gobierno de Corea del Ideal está estableciendo un nuevo familia de piratería en el interior de la Oficina Común de Registro de Registro de la Agencia de Inteligencia (RGB). Según Dailynk, la nueva mecanismo, señal Investigation Center 227, se centrará en la investigación para desarrollar «tecnologías y programas de piratería ataque». Todavía se dice que investiga sistemas de ciberseguridad occidentales y redes informáticas, refuerza las capacidades de Pyongyang para robar activos digitales y desarrollar técnicas basadas en IA para obtener el robo de información. En los últimos primaveras, los piratas informáticos de Corea del Ideal se han vuelto expertos en desviar fondos de los intercambios de criptomonedas y compañías de todo el mundo, como el nuevo truco de BYBIT de $ 1.4 mil millones. «El ataque de Bybit demostró un enfoque sofisticado y de varias etapas que finalmente permitió al actor de amenaza tomar el control de la billetera fría de Bybit y los fondos de sifón», dijo Sygnia en un referencia post mortem del incidente. «Durante el ataque, el actor de amenaza mostró una capacidad sofisticada para pasar los desafíos de seguridad en múltiples dominios, incluidos MacOS Malwares, el compromiso de la estrato de AWS, la seguridad de la aplicación y la seguridad del acuerdo inteligente». Se dice que el incidente primero infectó una temporada de trabajo de MacOS que pertenece a un desarrollador seguro {billetera} el 4 de febrero de 2025, utilizando su token de llegada AWS para consentir a la infraestructura AWS de la billetera SAFE e inyectado JavaScript taimado en la interfaz web de la plataforma. «El código taimado incluía una condición de activación, configurada para ejecutar la manipulación de la transacción solo en la billetera de frío de un bybit específico», agregó Sygnia. «Bybit inició una transacción de la billetera fría específica utilizando la interfaz web Safe {Wallet}. La transacción fue manipulada y los atacantes desviaron los fondos de las billeteras frías». El código de JavaScript taimado se eliminó dos minutos luego de que se realizó la transacción. Mientras tanto, el intercambio de criptomonedas OKX ha suspendido temporalmente sus servicios de agregador Dex utilizados por los piratas informáticos norcoreanos para duchar los fondos robados. Se estima que los actores de amenaza ya han convertido con éxito al menos $ 300 millones de los activos robados a fondos irrecuperables.
  • Cloudflare bloquea el tráfico sin transcribir a sus puntos finales de API; Debuta ai bullicio – Cloudflare ha anunciado que está cerrando todos los puertos HTTP en api.cloudflare.com para hacer cumplir el uso de HTTP para apuntalar el tráfico de API de CloudFlare. «Las conexiones realizadas sobre los puertos HTTP de Cleartext se arriesgan al aventura de exponer información confidencial porque los datos se transmiten sin transcribir y pueden ser interceptados por intermediarios de red, como ISP, proveedores de puntos de llegada Wi-Fi o actores maliciosos en la misma red», señaló. «Es popular que los servidores redirigan o devuelvan una respuesta 403 (prohibida) para cerrar la conexión HTTP y hacer cumplir el uso de HTTP por clientes. Sin requisa, para el momento en que esto ocurre, puede ser demasiado tarde, porque la información confidencial, como un token API, puede poseer sido transmitido en ClearText en la solicitud del cliente original». Por otra parte, los terceros en las redes compartidas podrían interceptar datos confidenciales de la solicitud HTTP de texto sin formato, o incluso padecer a lado un ataque monstruo en el medio (MITM) al hacerse acontecer por el servidor web. La compañía dijo que tiene la intención de introducir la capacidad de los clientes para optar por deshabilitar todo el tráfico de puertos HTTP para sus sitios web en CloudFlare. Se dilación que la función de seguridad esté arreglado de forma gratuita en el postrero trimestre de 2025. El proveedor de infraestructura web asimismo ha anunciado una nueva característica señal AI Labyrinth que tiene como objetivo combatir el arañazo de datos de IA no competente mediante el servicio de contenido ficticio de AI generado por AI cuando se detecta «comportamiento de botes inapropiados». «Cuando detectamos el rastreo no competente, en división de circunvalar la solicitud, vincularemos una serie de páginas generadas por IA que son lo suficientemente convincentes como para atraer a un rastreador a atravesarlos», dijo Cloudflare. «Pero si aceptablemente el aspecto existente, este contenido no es en sinceridad el contenido del sitio que estamos protegiendo, por lo que el rastreador desperdicia tiempo y medios».
  • Europol advierte a AI reiniciar el crimen organizado – Europol ha apto que la inteligencia sintético (IA) es la capacidad de las pandillas del crimen organizado para conseguir estafas y expandir sus operaciones a nivel mundial. La tecnología les permite crear mensajes multilingües, hacerse acontecer por individuos, realizar fraude cibernético más sofisticado y producir imágenes manipuladas o sintéticas. Identificar el ransomware, el robo de datos y la desinformación como la mayoría de las amenazas agudas de delitos cibernéticos híbridos, la Ordenamiento de la Policía Europea dijo que los grupos criminales están utilizando la criptomoneda para duchar el billete y mover fondos, lo que dificulta la detección de sus actividades. «La aparición de IA totalmente autónoma podría allanar el camino para redes criminales totalmente controladas por AI, marcando una nueva era en el crimen organizado», dijo Europol.
  • Reino Unido NCSC Orientación para la migración de la criptografía posterior al quanto (PQC) -El Centro Franquista de Seguridad Cibernética del Reino Unido ha publicado un cronograma trifásico para ayudar a las organizaciones a hacer la transición al enigmático resistente a la cantidad cuántica para 2035. El consejo enfatiza la asimilación de la criptografía posterior al quanto para proteger los datos delicados, como la banca y las comunicaciones, de los riesgos futuros planteados por los computadores cuánticos. Con ese fin, se dilación que las organizaciones identifiquen los servicios criptográficos que necesitan actualizaciones y construyen un plan de migración para 2028, ejecuten actualizaciones de incorporación prioridad y refine los planes a medida que PQC evoluciona de 2028 a 2031, y completa la migración a PQC para todos los sistemas, servicios y productos de 2031 a 2035.
  • Nuevos objetivos de campaña Servidores mal conformados Microsoft SQL (MS SQL) para minería criptográfica – Los servidores de Microsoft SQL (MS SQL) mal configurados y vulnerables han sido atacados por actores de amenaza desconocidos para entregar mineros de criptomonedas capaces de minería PKT Classic y Monero. «Los atacantes utilizaron la utilidad Certutil, una aparejo legítima de Windows (asimismo conocida como lolbin), para descargar la aparejo de minería PKT», dijo Quickheal. Todavía se ha observado que los atacantes lanzarán cmd.exe para ejecutar comandos de PowerShell que son responsables de descargar el software de minería XMRIG.
  • 3.200 millones de credenciales comprometidas en 2024 -Los robos de información se utilizaron para robar 2.100 millones de credenciales el año pasado, lo que representa casi dos tercios de 3,2 mil millones de credenciales robadas de todas las organizaciones, según un referencia de Flashpoint. Las familias de malware más prolíficas observadas incluyeron Redline, Risepro, STEALC, Lumma y MetaLealer. «Estos datos robados dominan los mercados ilícitos y se utiliza para fomentar una serie de campañas ilegales como el ransomware u otros tipos de malware», dijo la compañía. Ya se han robado más de 200 millones de credenciales desde el eclosión de 2025. Se detectaron infecciones de robador de información en 23 millones de hosts durante el período de tiempo, con la mayoría de los sistemas que ejecutan Microsoft Windows. El explicación se produce cuando Gitguardian reveló que detectó 23,770,171 secretos codificados en dura en los compromisos públicos de Github en 2024, de 19,1 millones en 2023, incluso cuando el 70% de los secretos filtrados en 2022 continúan siendo válidos, lo que plantea una superficie de ataque productivo.
  • CEO de Telegram que sale de Francia en medio de la investigación criminal – Las autoridades francesas han permitido que Pavel Durov, CEO y fundador de Telegram, abandone temporalmente el país mientras continúan investigando las actividades delictivas en la plataforma de correo. «Como habrás escuchado, he regresado a Dubai luego de acontecer varios meses en Francia correcto a una investigación relacionada con la actividad de los delincuentes en Telegram. El proceso está en curso, pero se siente perspicaz estar en casa», dijo Durov en una publicación en Telegram. Originalmente fue arrestado en agosto de 2024 en relación con una investigación sobre el exageración de telegrama por fraude, tráfico de drogas y distribución de contenido ilegal. La semana pasada, el servicio de correo superó a mil millones de usuarios activos mensuales.
  • 7,966 nuevos fallas descubiertas en el ecosistema de WordPress en 2024 – Hasta 7,966 nuevas vulnerabilidades que afectan el ecosistema de WordPress se descubrieron en 2024, con 7,633 defectos que afectan complementos y 326 que afectan los temas. El número representa un aumento del 34% sobre 2023 «. Si aceptablemente la mayoría de las vulnerabilidades no representan un aventura activo, las vulnerabilidades de incorporación prioridad asimismo aumentaron un 11% año tras año», dijo Patchstack. «Solo se descubrieron siete vulnerabilidades en el núcleo de WordPress, pero ninguna de ellas fue lo suficientemente significativa como para representar una amenaza generalizada».
  • Apple revela contraseñas de error de la aplicación – Apple solucionó un error en la aplicación iOS 18.2 contraseñas que podría poseer permitido que un afortunado con una posición de red privilegiada filtrara credenciales. El defecto, rastreado como CVE-2024-44276, se abordó utilizando HTTPS al remitir información a través de la red. Los investigadores de seguridad Talal Haj Bakry y Tommy Mysk de Mysk Inc, a quienes se les ha acreditado al descubrir e informar la vulnerabilidad, dijeron que la aplicación de contraseñas estaba enviando solicitudes HTTP no entrelazadas para los logotipos e iconos que muestra unido a los sitios asociados con las contraseñas almacenadas, así como los enlaces para cambiar las contraseñas fácilmente adivinables. Esto asimismo significa que un atacante en la misma red podría interceptar los enlaces de restablecimiento de contraseña y redirigir a las víctimas a un sitio ficticio de phishing.
  • ¿Qué sucede cuando la extensión de un navegador cambia de manos? – Seguro Annex ha apto sobre los graves riesgos de privacidad y seguridad resultantes de las extensiones del navegador web que cambian la propiedad luego de que sean listados para la saldo en los mercados de extensión. «Si aceptablemente los desarrolladores originales generalmente priorizan los intereses de los usuarios, los nuevos propietarios pueden explotar los valiosos permisos para consentir a todo, desde patrones de navegación hasta credenciales de autenticación», dijo John Tuckner. «El peligro radica en cuán sin problemas ocurren estos cambios: los usuarios no reciben notificación cuando una extensión cambia de manos y, a menos que se requieran nuevos permisos, la transición es invisible». En el caso de los complementos de Google Chrome, los desarrolladores registrados deben remitir una solicitud a Google, que luego tarda aproximadamente una semana en aprobar la transferencia luego de compulsar con el desarrollador que la transferencia de extensión positivamente se solicitó. Dicho esto, una vez que se completa la transferencia, el nuevo propietario tiene un control completo de la extensión y podría impulsar las actualizaciones de código a la almohadilla de usuarios. «La nueva interpretación que lanzé parecía acontecer por un proceso de revisión antiguamente de ser publicado, pero no está claro en qué calidad de investigación», agregó Tuckner.
  • La señal amenaza con dejar a Francia sobre la ley de «narcotraficas» -La señal de la aplicación de correo centrada en la privacidad dijo que dejaría a Francia si se promulgan enmiendas propuestas a la ley narcotrafica. Los cambios obligarían a los proveedores de los servicios de comunicación cifrados a implementar la puesta trasera, lo que permite a las autoridades de aplicación de la ley consentir a mensajes descifrados de presuntos delincuentes en el interior de las 72 horas de una solicitud. «El enigmático de extremo a extremo solo debe tener dos ‘extremos’ – remitente y destinatario. De lo contrario, está trasero», dijo el presidente de Signal, Meredith Whittaker. «Cualquiera que sea el método que se diseñe para juntar un ‘tercer extremo’, desde un PRNG pervertido en un protocolo criptográfico hasta software público proporcionado por el proveedor injertado en el costado de las comunicaciones seguras que permiten a dicho gobierno se suman a sus chats: rasga un agujero en el casco de las comunicaciones privadas y es un trasero». Sweden y el Reino Unido asimismo han hecho demandas de puerta trasera similares, lo que llevó a Apple a deshabilitar la función Vanguardia de Protección de Datos (ADP) para iCloud para los ciudadanos del Reino Unido. «La demanda de Apple del Reino Unido plantea una serie de preocupaciones serias que afectan directamente la seguridad doméstico y, por lo tanto, justifican un debate conocido sólido», según una carta conjunta publicada por los senadores Ron Wyden y Alex Padilla, unido con los representantes Andy Biggs, Warren Davidson y Zoe Lofgren. Google, por su parte, se ha obtuso a desmentir si ha recibido un aviso de capacidades técnicas similar, poco que se le prohibiría revelar públicamente incluso si ese fuera el caso.
  • Consideraciones de seguridad con Azure App Proxy -Una nueva investigación ha antagónico que la preautenticación de proxy de la aplicación de Microsoft Azure establecida para aprobar puede exponer involuntariamente los medios de la red privados. App Proxy es una característica que permite imprimir aplicaciones locales para el conocido sin cascar puertos en un firewall, lo que permite un llegada remoto seguro a través de Entra ID para la autenticación. Si aceptablemente Entra ID es la opción predeterminada para la preautenticación, configurarlo en aprobación significa que no hay protecciones que restrinjan el llegada desde el costado proxy de la aplicación Azure. «La preautenticación de la aprobación es básicamente el equivalente de cascar un puerto en su firewall al sistema privado», dijo TrustedSec.
  • Amazon enviará solicitudes de voz de Alexa a la estrato a partir del 28 de marzo -Amazon está deshaciendo de una función de privacidad que permite a los usuarios de su altavoz inteligente Echo evitar que sus comandos de voz vayan a la estrato de la compañía y, en su división, se procesen localmente en el dispositivo. A partir del 28 de marzo de 2025, la opción «No envíe grabaciones de voz» ya no estará arreglado, y la compañía afirma que tomó la valor a la luz de las nuevas características generativas de inteligencia sintético que dependen de ser procesadas en la estrato. Dicho esto, los usuarios aún tienen la opción de evitar que Alexa guarde las grabaciones de voz.
  • Dragonforce Transitions a un familia de ransomware -Dragonforce, originalmente conocido por sus actividades hacktivistas pro-palestinas, ahora ha pasado a un familia de ransomware motivado financieramente. Sus operaciones se han expandido más allá de los motivos ideológicos para incluir ataques sofisticados de ransomware dirigidos a organizaciones globales. «El familia utiliza un maniquí de perturbación estructurado que presenta un sitio de fuga web negro para mostrar públicamente los datos de las víctimas, las negociaciones de rescate y los temporizadores de cuenta regresiva. Esta organización aumenta la presión sobre las víctimas para satisfacer sus demandas», dijeron los investigadores. El ransomware de DragonForce se friso en el Lockbit Builder de 2022, utilizando configuraciones similares y estrategias de ataque. En particular, el ransomware incluye su icono y papel tapiz en el interior de la superposición del binario, que se comprime usando ZLIB y se carga dinámicamente durante la ejecución. Este enfoque mejoría el sigilo y ayuda a evitar los métodos de detección estática.
  • Flaw de seguridad en DIRK1983/CHATGPT está bajo explotación -Una rotura de seguridad de severidad media que afecta a DIRK1983/CHATGPT ha sido de explotación activa en la naturaleza. La vulnerabilidad de seguridad en cuestión es CVE-2024-27564 (puntaje CVSS: 6.5), una falsificación de solicitud del costado del servidor (SSRF) en el componente PictureProxy.php que podría permitir a un atacante compeler a la aplicación hacer solicitudes arbitrarias a través de URL diseñados en el parámetro URL. La compañía de ciberseguridad Veriti dijo que observó más de 10,479 intentos de ataque de una sola dirección IP maliciosa, con instituciones financieras y entidades gubernamentales de los Estados Unidos que emergen como el objetivo principal de la actividad. Las empresas financieras y de atención médica en Alemania, Tailandia, Indonesia, Colombia y el Reino Unido asimismo han sido atacadas.
  • Cómo los adversarios podrían violar del servicio AWS SNS – El servicio de notificación simple de Amazon Web Services (AWS) es un servicio web que permite a los usuarios remitir y percibir notificaciones desde la estrato. El año pasado, Sentinelone reveló cómo los actores de amenazas están armando SNS para remitir mensajes de amordazamiento a abundante. Según el postrero examen de Elastic Security Labs, el servicio asimismo podría aprovecharse como un canal de exfiltración de datos para evitar mecanismos tradicionales de protección de datos, como listas de control de llegada a la red (ACL). Si aceptablemente este enfoque plantea algunos desafíos propios, específicamente cuando se alcahuetería de ejecutar un script o ejecutar comandos sin activar alarmas (por ejemplo, CloudTrail), ofrece una forma de combinarse con los servicios de AWS nativos y deja una huella mínima.
LEER  La validación de exposición adversaria expone amenazas reales

🎥 Seminario web habituado

  • AI está alimentando ataques, aprende cómo cerrarlos – La IA no es la amenaza futura, es el maduro desafío de hoy. Desde el phishing de Deepfake hasta el registro con IA, los atacantes se mueven más rápido de lo que las defensas heredadas pueden mantenerse al día. En esta sesión, Diana Shtiler de Zscaler comparte formas prácticas de usar Zero Trust para defenderse de las amenazas impulsadas por la IA, antiguamente de que lleguen a su perímetro.
  • Olvídate de la detección: aquí es cómo eliminar los ataques basados ​​en la identidad – El phishing, el bypass de MFA y los riesgos del dispositivo aún están ganando, incluso luego de primaveras de expansión y entrenamiento de herramientas. ¿Por qué? Porque la mayoría de las defensas asumen que algunos ataques tendrán éxito. Esta sesión voltea esa mentalidad. Únase a nosotros para explorar el llegada seguro por diseño que evite las violaciones por completo. Aprenda a circunvalar el phishing, hacer cumplir el cumplimiento del dispositivo (incluso en puntos finales no administrados) y aplicar llegada continuo y basado en el aventura; antiguamente de que los atacantes incluso tengan una oportunidad.
  • Las herramientas de IA están evitando sus controles, aquí se va a encontrar y detenerlos – No puedes proteger lo que no puedes ver. Las herramientas de IA Shadow se están extendiendo en silencio por los entornos SaaS, a menudo inadvertidos hasta que sea demasiado tarde. Únase a DVIR Sasson de Reco para una examen existente en el uso de AI oculto, caminos de ataque sigilosos y cómo obtener visibilidad antiguamente de que las amenazas se conviertan en incidentes.
LEER  Sonicwall parches 3 defectos en dispositivos SMA 100 que permiten a los atacantes ejecutar código como root

🔧 Herramientas de ciberseguridad

  • Plataforma T-Pot Honeypot: ¿cómo atrapar a los atacantes antiguamente de causar daños? T-Pot es una poderosa plataforma de honeypot todo en uno que agrupa más de 20 honeypots con paneles incorporados, mapas de ataque en vivo y herramientas de examen de amenazas, no se necesita osadía comercial. Ya sea que esté ejecutando un laboratorio doméstico o defendiendo una pequeña empresa, T-POT lo ayuda a afectar servicios vulnerables para detectar ataques del mundo existente en tiempo existente. Se ejecuta en Docker, es compatible con ARM y X86, e incluso funciona en Cloud o Aparente Machines. Ideal para cultivarse, probar o establecer trampas para los malos actores, no olvide aislarlo adecuadamente de los sistemas de producción.
  • Rogue: es una aparejo de seguridad avanzadilla impulsada por la IA que actúa como un probador de penetración inteligente, utilizando modelos de idiomas grandes (OpenAI y Claude) para pensar en el comportamiento de las aplicaciones web, elaborar cargas efectos de ataque a medida y compulsar las vulnerabilidades con falsos positivos mínimos. A diferencia de los escáneres tradicionales, Rogue analiza cada objetivo en tiempo existente, adaptando sus pruebas basadas en respuestas y generando informes detallados y fáciles de ojear. Con el descubrimiento de subdominios incorporado, el monitoreo del tráfico y las opciones de CLI flexibles, es una poderosa aparejo gratuita para investigadores de seguridad y equipos rojos que buscan automatizar las pruebas más inteligentes y conscientes del contexto.

🔒 Consejo de la semana

Auditar su activo directorio en minutos – Si administra o trabaja con Active Directory (AD), no asuma que es seguro de forma predeterminada. Muchos entornos publicitarios recopilan silenciosamente configuraciones de aventura, como cuentas de filial no utilizadas, reglas de contraseña débiles o permisos grupales demasiado amplios, que a los atacantes les encanta explotar.

LEER  Desarrolladores criptográficos dirigidos por malware de Python disfrazado de desafíos de codificación

Para encontrar y solucionarlos, pruebe herramientas gratuitas como Invokeadcheck (ideal para escaneos de sanidad publicitarios rápidos), Pingcastle (para clasificar y informes de riesgos visuales) y Bloodhound Community Edition (para asignar rutas de ataque entre usuarios y permisos). Incluso los pasos básicos, como identificar cuentas inactivas, revisar GPO o compulsar quién es un administrador de dominio, puede descubrir grandes riesgos. Ejecute estas herramientas en un entorno seguro para la prueba y comience a construir una relación de demostración de cosas para afanar. No necesita un equipo rojo completo para forzar su anuncio, solo las herramientas adecuadas y un poco de tiempo.

Conclusión

Las historias de esta semana no fueron solo los titulares: fueron disparos de advertencia. Las herramientas en las que confiamos, los sistemas en los que confiamos e incluso las aplicaciones que escasamente notamos forman parte de la superficie de ataque moderna.

La ciberseguridad no se alcahuetería solo de circunvalar las amenazas, sino de comprender qué tan rápido están cambiando las reglas. Desde el código hasta la estrato, desde las ratas hasta las regulaciones, el paisaje sigue cambiando bajo nuestros pies.

Mantente maniático, mantente afilado y no subestimes las cosas pequeñas, a menudo es donde comienzan las grandes violaciones.

Hasta la próxima semana, parche de guisa inteligente y piense como un atacante.

spot_img
Artículo anterior
La lucha por la personalización de disparo cero en la IA generativa
Artículo siguiente
Las funciones clave VIVO Y300 Pro Plus y la fecha de lanzamiento inclinada en línea: consulte los detalles completos aquí
Conectamentado
Conectamentadohttps://conectamentado.com

Artículos relacionados

spot_img

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí

Últimos artículos

Cargar más

Bienvenido a Conectamentado, tu fuente confiable de noticias y tendencias en el mundo de la tecnología. Nos dedicamos a ofrecer información actualizada y análisis profundos sobre los avances más relevantes del sector, manteniéndote siempre al día con la evolución digital.

© 2025 Todos los derechos reservados, Protegido por Conectamentado