Barracuda full logo

Radar de amenazas del SOC — mayo de 2025

Temas:
8 may 2025
|
Eric Russo

Durante el último mes, las soluciones de seguridad, inteligencia de amenazas y los analistas del SOC de Barracuda Managed XDR identificaron desarrollos que las organizaciones deberían conocer, incluidos:

  • Un aumento del 38 % en los ataques dirigidos a los servicios VPN de FortiGate Firewall.
  • Un aumento del 26 % en los intentos de exfiltración de datos 
  • Un aumento del 47 % en la detección de malware «empaquetado»
  • Advertencias de seguridad sobre las vulnerabilidades de CrushFTP y Next.js

Un aumento del 38 % en los ataques dirigidos a los servicios VPN de FortiGate Firewall.

¿Qué está detrás de esto?

Los analistas de amenazas del SOC han observado cientos de ataques que intentan explotar las vulnerabilidades del Firewall FortiGate ampliamente reportadas en los últimos dos meses, con actores de amenazas que apuntan a túneles VPN mal protegidos para obtener acceso inicial a las organizaciones.

¿Cuál es el riesgo?

Los errores de FortiGate permiten a los atacantes eludir la autenticación para obtener privilegios administrativos completos en dispositivos vulnerables. Esto puede permitir a los atacantes cambiar la configuración del firewall, crear cuentas de administrador maliciosas, obtener acceso a redes internas y más. Para la víctima, el ataque puede llevar a violaciones de datos, daños a la reputación, sanciones regulatorias y ataques de ransomware, como el expediente del caso SOC de RansomHub publicado recientemente.

¿Estoy expuesto?

  • Las organizaciones pueden estar en riesgo si tienen firewalls FortiGate pero aún no han actualizadocompletamente el software según lo recomendado por Fortinet.
  • Otro factor de riesgo es la falta de medidas sólidas —y aplicadas de manera coherente— de autenticación multifactor (MFA), especialmente en las cuentas de VPN accesibles externamente.
  • Una fuerza laboral remota o distribuida puede implicar una mayor dependencia de los servicios de VPN, que son un objetivo común para los atacantes. Cuantos más empleados, contratistas y otras personas puedan conectarse a la red desde fuera del perímetro de seguridad principal, mayor será la superficie de ataque para los actores de amenazas.

Acción a realizar

  • Mantenga los sistemas y el software actualizados con las últimas revisiones de seguridad.
  • Implemente el uso de MFA para el acceso a VPN — esto dificulta que los atacantes obtengan acceso incluso si han comprometido con éxito las credenciales de usuario, por ejemplo, a través de un ataque de phishing o de fuerza bruta.
  • Implemente políticas de geoperimetraje o acceso condicional para permitir únicamente las conexiones VPN desde ubicaciones autorizadas donde su organización opera.
  • Instale defensas integrales y en capas con visibilidad integrada y mayor.
  • Las funciones de Barracuda Managed XDR, como la inteligencia de amenaza, la respuesta automatizada a amenazas y la integración de soluciones más amplias, como XDR Server Security, XDR Network Security y XDR seguridad en la nube, proporcionan una protección completa y pueden reducir drásticamente el tiempo de permanencia.

Un aumento del 26 % en los intentos de exfiltración de datos

¿Qué está detrás de esto?

Durante el último mes, los analistas de amenazas del SOC han observado un aumento del 26 % en las actividades de exfiltración de datos, ya que los actores de amenazas están cambiando cada vez más su enfoque del cifrado de datos a simplemente robar datos sensibles o confidenciales y extorsionar a las víctimas para evitar que se filtren o vendan la información.

¿Cuál es el riesgo?

  • La eliminación de datos confidenciales puede implicar la pérdida de valiosa propiedad intelectual y ventaja competitiva, impacto financiero, daño reputacional, brechas de datos, multas regulatorias y más.
  • La exfiltración de datos a menudo se lleva a cabo mediante medidas avanzadas y discretas, como la compresión, la esteganografía (ocultar contenido en un archivo de texto, audio, video o imagen), el uso de túneles (utilizar un canal privado sobre una red pública) o el movimiento de datos de manera silenciosa y lenta para consumir un ancho de banda mínimo y parecer tráfico ordinario. Esto puede dificultar que las herramientas de seguridad tradicionales identifiquen las transferencias de datos no autorizadas.
  • La exfiltración de datos también puede ser realizada por personas internas, como empleados o contratistas, que podrían tener acceso legítimo a información sensible.
  • Los ataques de phishing y la social engineering pueden engañar a los empleados desprevenidos para que, sin darse cuenta, faciliten la exfiltración de datos al compartir o mover archivos confidenciales, por ejemplo.
  • Los atacantes también pueden utilizar puertas traseras que han instalado o explotar vulnerabilidades para eludir las defensas y exfiltrar datos sin ser detectados.

¿Estoy expuesto?

  • Una protección de red débil y configuraciones de seguridad incorrectas — especialmente para activos basado en la nube — pueden facilitar a los atacantes la extracción de información de la red.
  • La ausencia de un inventario actualizado de herramientas y aplicaciones también puede representar un riesgo. Los atacantes a menudo instalan o utilizan herramientas legítimas para transferir datos a través y fuera de la red. Es importante saber qué aplicaciones y herramientas están utilizando los empleados, para qué las están usando y si hay alguna anomalía.
  • Las vulnerabilidades de software sin parchear son un objetivo principal para los atacantes que buscan instalar herramientas maliciosas como puertas traseras.
  • La falta de formación en concienciación sobre la seguridad para los empleados podría significar que sean más propensos a caer en estafas de phishing y a compartir información sensible o confidencial cuando se les pregunte.

Acción a realizar

  • Implementar controles estrictos para limitar el acceso a datos sensibles.
  • Establezca controles adicionales para monitorizar y controlar las transferencias de datos hacia y desde la empresa.
  • Eduque a los empleados sobre cómo detectar el phishing y proteger la información confidencial.
  • Segmente las redes e implemente medidas de seguridad Zero Trust para limitar la capacidad de los intrusos no deseados de acceder a sus datos más sensibles.
  • XDR Endpoint seguridad y XDR Network seguridad pueden proteger los sistemas al detectar y mitigar la actividad anómala asociada con los attackers que intentan extraer datos de la red.

Un aumento del 47 % en la detección de malware «empaquetado»

¿Qué está detrás de esto?

Los analistas de amenazas del SOC han identificado un uso creciente de malware «empaquetado», es decir, código malware que ha sido comprimido o cifrado para evadir la detección. Los ejemplos observados por los analistas de SOC eran archivos ejecutables o binarios empaquetados con UPX (Ultimate Packer for eXecutables).

¿Cuál es el riesgo?

Aunque el número total de detecciones es relativamente bajo, los analistas de amenazas del SOC esperan que aumente el uso de malware empaquetado.

  • Esto se debe a la disponibilidad generalizada de herramientas de empaquetado automatizadas que facilitan incluso a los atacantes menos expertos la creación de código malicioso oculto.
  • Los ataques de ransomware a menudo incluyen malware empaquetado para mantener oculta la carga útil de cifrado final hasta que esté lista para ejecutarse.
  • Las herramientas de seguridad tradicionales pueden tener dificultades para detectar malware empaquetado, ya que el código malicioso se mantiene oculto.

¿Estoy expuesto?

  • Una fuerza laboral remota o distribuida que dependa de las VPN y de importantes activos basado/a en la nube puede aumentar el número de puntos de acceso potencialmente subprotegidos y vulnerables que los atacantes pueden atacar.

Acción a realizar

  • Implemente una protección avanzada de puntos finales, como Barracuda Managed XDR seguridad en la nube.
  • Mantenga los sistemas y el software actualizados con las últimas revisiones de seguridad.
  • Implemente MFA para el acceso a VPN: dificulta que los atacantes obtengan acceso incluso si han comprometido con éxito las credenciales de usuario, por ejemplo, mediante un ataque de phishing o de fuerza bruta.
  • Revise y corrija continuamente las configuraciones incorrectas en los ajustes del servicio en la nube.
  • Utilice la segmentación de red para limitar el acceso a las áreas sensibles de la red.
  • Implemente defensas integrales y en capas con visibilidad integrada y mayor.

Otras actividades de amenazas actuales que debe tener en cuenta

Vulnerabilidad crítica de CrushFTP

CrushFTP es un sistema de transferencia de archivos multiplataforma diseñado tanto para usuarios domésticos como para organizaciones. En abril se informó de una vulnerabilidad crítica que permite a los atacantes eludir la autenticación y acceder sin credenciales al servidor de transferencia de archivos, donde pueden potencialmente manipular archivos, exfiltrar datos e interrumpir servicios. Se publicó un exploit de prueba de concepto antes de que la vulnerabilidad fuera ampliamente corregida. Los actores de amenazas aprovecharon rápidamente la oportunidad, y los analistas de amenazas del SOC y otros han observado cómo los atacantes explotan la vulnerabilidad en entornos reales.

Acción a realizar

Actualice CrushFTP inmediatamente a una versión corregida y revise la configuración de CrushFTP, incluidas las contraseñas, los permisos de usuario y los derechos de acceso al servidor.

Para obtener más información

Aviso de amenazas de ciberseguridad de Barracuda: vulnerabilidad crítica de CrushFTP.

Vulnerabilidad crítica de Next.js

Next.js es un marco para crear aplicaciones web y sitios web rápidos y fáciles de usar. La vulnerabilidad crítica recién reportada permite a los atacantes eludir las comprobaciones de autorización en el «middleware» de Next.js, código que controla el acceso a ciertas partes de una aplicación. La explotación exitosa del fallo permite a los atacantes acceder a áreas restringidas de una aplicación web sin los permisos adecuados, lo que les permite manipular datos, cambiar configuraciones o comprometer la integridad de la aplicación.

Acción a realizar

Actualice Next.js y todas sus dependencias a la versión más reciente, e implemente controles robustos de acceso y autenticación.

Para obtener más información

Aviso de amenazas de ciberseguridad de Barracuda: vulnerabilidad crítica de Next.js

Cómo Barracuda Managed XDR puede ayudar a su organización

Barracuda Managed XDR ofrece protección avanzada contra las amenazas identificadas en este informe al combinar tecnología de vanguardia con supervisión experta del SOC. Con inteligencia de amenazas en tiempo real, respuestas automatizadas y un equipo SOC 24 horas al día, 7 días a la semana, Barracuda Managed XDR garantiza una protección completa y proactiva en toda su red, nube, correo electrónico, servidores y puntos finales, brindándole la confianza para mantenerse a la vanguardia de las amenazas en evolución.

Para obtener más información sobre cómo podemos ayudarle, por favor póngase en contacto con Barracuda Managed XDR

Programe su demostración de Managed XDR
Eric Russo

Eric Russo is Director of SOC Defensive Security at Barracuda.

Publicaciones relacionadas:
Los archivos del caso SOC: una banda de ransomware armada con Python resurge para enfrentarse a un muro de defensas XDR
Los archivos del caso SOC: una banda de ransomware armada con Python resurge para enfrentarse a un muro de defensas XDR
 Barracuda celebra seis premios en los SC Awards 2025 y los Global InfoSec Awards
Barracuda celebra seis premios en los SC Awards 2025 y los Global InfoSec Awards
 De días a horas: cómo Barracuda Managed XDR potencia la protección del correo electrónico para los equipos de TI ocupados.
De días a horas: cómo Barracuda Managed XDR potencia la protección del correo electrónico para los equipos de TI ocupados.
 Radar de amenazas de correo electrónico – Abril de 2025
Radar de amenazas de correo electrónico – Abril de 2025
Search the blog

Subscribe to the Barracuda Blog.

Sign up to receive threat spotlights, industry commentary, and more.

Sign up to receive threat spotlights, industry commentary, and more.

Get all the latest news, research, and analysis delivered right to your inbox.