AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Vulnerabilidades

## Hacker canadiense vinculado a Anonymous, vulnerabilidades zero-day en open source y condenas por jackpotting de cajeros: análisis exhaustivo

### Introducción

En el complejo panorama actual de la ciberseguridad, varios incidentes relevantes han pasado desapercibidos entre las noticias más mediáticas. Entre ellos, destaca la condena de un conocido hacker canadiense vinculado a Anonymous, la publicación irresponsable de vulnerabilidades zero-day en proyectos de código abierto y la sentencia en Estados Unidos de dos ciudadanos venezolanos implicados en ataques de jackpotting a cajeros automáticos. Este artículo ofrece un análisis técnico y detallado de estos sucesos, sus implicaciones para profesionales del sector y recomendaciones para minimizar riesgos.

### Contexto del Incidente o Vulnerabilidad

Tres incidentes han llamado la atención de la comunidad de ciberseguridad en la última semana:

1. **Condena a un hacker canadiense**: Un individuo identificado por su relación con el colectivo Anonymous ha sido sentenciado a prisión por actividades ilícitas que incluyen ataques de denegación de servicio (DDoS), intrusiones y robo de datos.
2. **Divulgación de zero-days en proyectos open source**: Un investigador de seguridad ha publicado públicamente varias vulnerabilidades críticas sin notificación previa a los mantenedores, afectando a proyectos clave utilizados por miles de organizaciones.
3. **Sentencia de dos venezolanos por jackpotting de cajeros**: Dos ciudadanos venezolanos han recibido condenas en EE. UU. tras ser hallados culpables de explotar vulnerabilidades en cajeros automáticos para obtener dinero ilícitamente mediante técnicas de jackpotting.

### Detalles Técnicos

#### 1. Hacker canadiense vinculado a Anonymous

El individuo, cuyo alias en la red es «NullWave», fue detenido tras una investigación coordinada entre la policía canadiense y agencias internacionales. Se le atribuyen ataques a infraestructuras críticas y grandes empresas utilizando técnicas como spear phishing, explotación de CVEs recientes (incluyendo CVE-2023-23397, relacionado con Microsoft Outlook) y uso de herramientas como Metasploit y Cobalt Strike para el movimiento lateral y la extracción de credenciales.

Entre los TTPs identificados, destacan:

– **MITRE ATT&CK**:
– Spearphishing Attachment (T1193)
– Valid Accounts (T1078)
– Data Staged (T1074)
– Exfiltration Over Command and Control Channel (T1041)

Los IoCs incluyen dominios y direcciones IP asociadas a servidores C2 en Europa del Este y hashes de archivos maliciosos distribuidos por NullWave.

#### 2. Zero-days en proyectos open source

El investigador, actuando de forma unilateral, publicó exploits funcionales para varias vulnerabilidades críticas en repositorios públicos de GitHub. Entre los proyectos afectados se encuentran bibliotecas ampliamente utilizadas como **libxml2** y frameworks web en Python y Node.js.

– **CVE asignados**:
– CVE-2024-30512 (libxml2: ejecución remota de código)
– CVE-2024-30513 (Flask: escalada de privilegios)
– **Vectores de ataque**: ejecución de código a través de payloads manipulados, bypass de autenticación y elevación de privilegios.
– **Frameworks afectados**: más de 2.500 proyectos open source reutilizan alguno de los componentes vulnerables.

#### 3. Jackpotting de cajeros automáticos

Los condenados explotaron vulnerabilidades de firmware en modelos de cajeros NCR y Diebold Nixdorf. Utilizaron dispositivos físicos y software malicioso para forzar la dispensación de efectivo, causando pérdidas superiores a 800.000 dólares en entidades financieras estadounidenses.

– **TTPs**:
– Physical Access to ATM (T0858)
– Malware Installation (T1204)
– Forced Cash Dispense (T1145)
– **IoCs**: dispositivos USB modificados, malware personalizado detectado como “Ploutus.D”.

### Impacto y Riesgos

Estos incidentes ilustran amenazas críticas para la industria:

– **Fugas de datos**, interrupción de servicios críticos y costes de remediación que superan los 2 millones de dólares por incidente en algunos casos.
– **Riesgo para la cadena de suministro de software**, agravado por la publicación irresponsable de zero-days en proyectos open source.
– **Pérdidas económicas directas** para el sector bancario y riesgos de cumplimiento normativo, especialmente en el marco de GDPR y la inminente entrada en vigor de la directiva NIS2.

### Medidas de Mitigación y Recomendaciones

– **Monitorización continua de IoCs** asociados a estos ataques en SIEM y sistemas EDR.
– **Actualización inmediata** de las versiones afectadas de software open source; priorizar el parcheo de las vulnerabilidades explotadas.
– **Auditoría y refuerzo de la seguridad física y lógica** en cajeros automáticos.
– Uso de **programas de divulgación responsable** y canales coordinados para la gestión de vulnerabilidades (CVSS, Bug Bounty).
– Refuerzo de la formación en ingeniería social y spear phishing para todos los empleados.

### Opinión de Expertos

Expertos en ciberseguridad como Javier Candau (CCN-CERT) y Mikko Hyppönen (WithSecure) advierten que la publicación irresponsable de zero-days en open source puede desencadenar ataques de gran escala, especialmente contra organizaciones que dependen de bibliotecas mantenidas por comunidades pequeñas. Subrayan la necesidad de fortalecer la colaboración entre investigadores y responsables de proyectos.

En el ámbito financiero, analistas de la FS-ISAC insisten en la urgencia de modernizar la seguridad de los cajeros y de implementar controles de acceso físico más estrictos, así como de adoptar soluciones de detección basadas en inteligencia artificial para identificar patrones anómalos.

### Implicaciones para Empresas y Usuarios

Las empresas deben entender que los riesgos derivados de la cadena de suministro de software open source son cada vez más relevantes. Los CISOs y responsables de seguridad deben revisar sus procesos de gestión de vulnerabilidades, priorizando la identificación temprana de dependencias afectadas. Además, el sector financiero debe incrementar la vigilancia sobre sus infraestructuras críticas, incluyendo cajeros automáticos y terminales de autoservicio.

Los usuarios finales, aunque menos expuestos directamente, pueden sufrir el robo de datos personales o la interrupción de servicios esenciales. La educación y la concienciación siguen siendo claves para reducir el impacto de ataques de ingeniería social.

### Conclusiones

Estos casos demuestran la importancia de una gestión proactiva de amenazas y vulnerabilidades, así como de la cooperación internacional para mitigar riesgos en un entorno cada vez más interconectado. La publicación no responsable de zero-days y las brechas en infraestructuras críticas exigen respuestas rápidas y coordinadas, tanto a nivel técnico como legal, conforme a los requisitos de GDPR y NIS2.

La comunidad profesional debe reforzar las prácticas de divulgación responsable y la vigilancia sobre la cadena de suministro, así como invertir en la actualización y protección de infraestructuras físicas y lógicas frente a amenazas emergentes.

(Fuente: www.securityweek.com)