Una nueva investigación de Symantec de Broadcom y el equipo Carbon Black Threat Hunter ha descubierto evidencia de un grupo de piratería iraní incrustándose en las redes de varias empresas estadounidenses, incluidos bancos, aeropuertos, organizaciones sin fines de lucro y la rama israelí de una empresa de software.

La actividad se ha atribuido a un grupo de piratería patrocinado por el estado llamado FangosoAgua (también conocido como gusano de semilla). Está afiliado al Ministerio iraní de Inteligencia y Seguridad (MOIS). Se estima que la campaña comenzó a principios de febrero, y se detectó actividad reciente tras los ataques militares estadounidenses e israelíes contra Irán.

«La compañía de software es proveedor de las industrias aeroespacial y de defensa, entre otras, y tiene presencia en Israel, y la operación de la compañía en Israel parece ser el objetivo de esta actividad», dijo el proveedor de seguridad en un informe compartido con The Hacker News.

Se ha descubierto que los ataques dirigidos a la empresa de software, así como a un banco estadounidense y una organización sin fines de lucro canadiense, allanan el camino para una puerta trasera previamente desconocida denominada Dindoor, que aprovecha la Deno Tiempo de ejecución de JavaScript para su ejecución. Broadcom dijo que también identificó un intento de extraer datos de la compañía de software utilizando la utilidad Rclone a un depósito de almacenamiento en la nube de Wasabi. Sin embargo, actualmente no se sabe si el esfuerzo dio sus frutos.

También se encontró en las redes de un aeropuerto de EE. UU. y de una organización sin fines de lucro una puerta trasera de Python separada llamada Fakeset, que se descargó de servidores pertenecientes a Backblaze, una empresa estadounidense de almacenamiento en la nube y copia de seguridad de datos. El certificado digital utilizado para firmar Fakeset también se ha utilizado para firmar el malware Stagecomp y Darkcomp, ambos previamente vinculados a MuddyWater.

«Aunque este malware no se vio en las redes objetivo, el uso de los mismos certificados sugiere que el mismo actor, concretamente Seedworm, estaba detrás de la actividad en las redes de las empresas estadounidenses», dijeron Symantec y Carbon Black.

«Los actores de amenazas iraníes se han vuelto cada vez más competentes en los últimos años. No sólo han mejorado sus herramientas y su malware, sino que también han demostrado sólidas capacidades de ingeniería social, incluidas campañas de phishing y operaciones de ‘trampa de miel’ utilizadas para construir relaciones con objetivos de interés para obtener acceso a cuentas o información confidencial».

Los hallazgos se producen en el contexto de una escalada del conflicto militar en Irán, que ha desencadenado una avalancha de ciberataques en la esfera digital. Una investigación reciente de Check Point ha descubierto que el grupo hacktivista propalestino conocido como Handala Hack (también conocido como Void Manticore) dirige sus operaciones a través de rangos de IP de Starlink para investigar aplicaciones externas en busca de configuraciones erróneas y credenciales débiles.

En los últimos meses, múltiples Adversarios del nexo Iráncomo Agrius (también conocido como Agonizing Serpens, Marshtreader y Pink Sandstorm), también han observado escaneo en busca de cámaras Hikvision vulnerables y soluciones de videoportero utilizando fallas de seguridad conocidas como CVE-2017-7921 y CVE-2023-6895.

Los ataques, según Check Point, se han intensificado a raíz del actual conflicto en Oriente Medio. Los intentos de explotación de cámaras IP han experimentado un aumento en Israel y los países del Golfo, incluidos los Emiratos Árabes Unidos, Qatar, Bahréin y Kuwait, además del Líbano y Chipre. La actividad ha señalado cámaras de Dahua y Hikvision, armando las dos vulnerabilidades antes mencionadas, así como CVE-2021-36260, CVE-2025-34067y CVE-2021-33044.

«En conjunto, estos hallazgos son consistentes con la evaluación de que Irán, como parte de su doctrina, aprovecha el compromiso de la cámara para el apoyo operativo y la evaluación continua de daños de batalla (BDA) para operaciones de misiles, potencialmente en algunos casos antes de los lanzamientos de misiles», dijo la compañía. dicho.

«Como resultado, el seguimiento de la actividad de la cámara dirigida a infraestructuras específicas y atribuidas puede servir como un indicador temprano de una posible actividad cinética de seguimiento».

La guerra de Estados Unidos e Israel con Irán también ha provocado un aviso del Centro Canadiense de Seguridad Cibernética (CCCS), que advertido que Irán probablemente utilice su aparato cibernético para organizar ataques de represalia contra infraestructura crítica y operaciones de información para promover los intereses del régimen.

Algunos otros acontecimientos clave que se han desarrollado en los últimos días se enumeran a continuación:

• agencias de inteligencia israelíes pirateado en la extensa red de cámaras de tráfico de Teherán durante años para monitorear los movimientos de los guardaespaldas del Ayatollah Ali Khamenei y otros altos funcionarios iraníes en el período previo al asesinato del líder supremo la semana pasada, informó el Financial Times. reportado.
• El Cuerpo de la Guardia Revolucionaria Islámica de Irán (CGRI) atacó el centro de datos de Amazon en Bahréin por el apoyo de la compañía a las «actividades militares y de inteligencia del enemigo», informó el medio estatal Fars News Agency. dicho en Telegrama.
• Se dice que se están llevando a cabo campañas activas de limpieza contra los sectores energético, financiero, gubernamental y de servicios públicos de Israel. «El arsenal de limpiaparabrisas de Irán incluye más de 15 familias (ZeroCleare, Meteor, Dustman, DEADWOOD, Apostle, BFG Agonizer, MultiLayer, PartialWasher y otras)», Anomali dicho.
• Los grupos APT patrocinados por el estado iraní como MuddyWater, Charming Kitten, OilRig, Elfin y Fox Kitten «demostraron signos claros de activación y rápida reestructuración, posicionándose para operaciones de represalia en medio de la escalada del conflicto», LevelBlue dichoy agregó que «la cibernética representa una de las herramientas asimétricas más accesibles de Irán para tomar represalias contra los estados del Golfo que condenaron sus ataques y apoyaron las operaciones estadounidenses».
• Según Flashpoint, una campaña cibernética masiva #OpIsrael que involucra a actores prorrusos y proiraníes se ha dirigido a los sistemas de control industrial (ICS) y portales gubernamentales israelíes en Kuwait, Jordania y Bahréin. La campaña está impulsada por NoName057(16), Handala Hack, Fatemiyoun Electronic Team y Cyber ​​Islamic Resistance (también conocido como 313 Team).
• Entre el 28 de febrero de 2026 y el 2 de marzo de 2026, el grupo hacktivista prorruso Z-Pentest se atribuyó la responsabilidad de comprometer varias entidades con sede en Estados Unidos, incluidos sistemas ICS y SCADA y múltiples redes de CCTV. «El momento de estas afirmaciones no verificadas, que coinciden con la Operación Epic Fury, sugiere que Z-Pentest probablemente comenzó a priorizar entidades estadounidenses como objetivos», dijo a The Hacker News Adam Meyers, jefe de Operaciones Contra Adversarios de CrowdStrike.

«La capacidad cibernética ofensiva de Irán ha madurado hasta convertirse en un instrumento duradero de poder estatal utilizado para apoyar la recopilación de inteligencia, la influencia regional y la señalización estratégica durante períodos de tensión geopolítica», UltraViolet Cyber dicho. «Una característica definitoria de la actual doctrina cibernética de Irán es su énfasis en la identidad y los aviones de control de la nube como principal superficie de ataque».

«En lugar de priorizar la explotación de día cero o malware altamente novedoso a escala, los operadores iraníes tienden a centrarse en técnicas de acceso repetibles como el robo de credenciales, la pulverización de contraseñas y la ingeniería social, seguidas de la persistencia a través de servicios empresariales ampliamente implementados».

Se recomienda a las organizaciones que refuercen su postura de ciberseguridad, fortalezcan las capacidades de monitoreo, limiten la exposición a Internet, deshabiliten el acceso remoto a los sistemas de tecnología operativa (OT), apliquen la autenticación multifactor (MFA) resistente al phishing, implementen la segmentación de la red, realicen copias de seguridad fuera de línea y garanticen que todas las aplicaciones conectadas a Internet, puertas de enlace VPN y dispositivos perimetrales estén actualizados.

«Las organizaciones occidentales deben continuar en alerta máxima ante una posible respuesta cibernética a medida que el conflicto continúa y la actividad puede ir más allá del hacktivismo y convertirse en operaciones destructivas», dijo Meyers.

Escalar los servicios de ciberseguridad como MSP o MSSP requiere experiencia técnica y un modelo de negocio que ofrece valor medible a escala.

La ciberseguridad basada en riesgos es la base de ese modelo. Cuando se hace correctamente, genera confianza en el cliente, aumenta las oportunidades de ventas adicionales e impulsa los ingresos recurrentes. Pero para lograr esto de manera consistente y eficiente, necesita la tecnología y los procesos adecuados.

Nosotros creamos La guía de crecimiento de MSP: cómo los MSP utilizan la gestión de riesgos basada en IA para escalar su negocio de ciberseguridad para ayudar a los proveedores a realizar la transición hacia una ciberseguridad escalable y que priorice el riesgo. En el interior, encontrará información práctica sobre los principales desafíos que enfrentan los MSP, orientación experta para superarlos y un marco para seleccionar e implementar la gestión de riesgos impulsada por IA para desbloquear ingresos recurrentes y escalables.

Por qué la gestión de riesgos es la clave para escalar los servicios de ciberseguridad

La mayoría de los MSP ofrecen servicios críticos de ciberseguridad, desde soporte de cumplimiento hasta protección de terminales, pero a menudo se trata de compromisos aislados que limitan el valor a largo plazo y los ingresos recurrentes.

Un enfoque basado en el riesgo cambia eso. Al evaluar el panorama completo de amenazas y priorizar los riesgos según el impacto comercial, los MSP pueden pasar de soluciones tácticas a un servicio continuo y proactivo.

Al adoptar un enfoque que prioriza el riesgo, usted puede:

• Anticipar y neutralizar las amenazas antes de que causen daño.
• Adaptar continuamente las medidas de seguridad a un panorama de amenazas en evolución
• Proteja los activos, las operaciones y la reputación incluso cuando el cumplimiento no requiera acciones específicas

La gestión de riesgos también ayuda a los MSP a cumplir con las expectativas de los marcos de ciberseguridad modernos, muchos de los cuales requieren evaluaciones de riesgos formales y continuas. Al incorporar la gestión de riesgos en sus ofertas de servicios, abre la puerta a contratos más lucrativos y ventas adicionales basadas en el cumplimiento.

Seis desafíos que la gestión de riesgos impulsada por la IA resuelve para los MSP

Ofrecer servicios de gestión de riesgos ofrece un valor claro, pero incluso los MSP experimentados encuentran obstáculos que obstaculizan la prestación de servicios, reducen la escalabilidad y hacen más difícil mostrar su impacto a los clientes.

Estas son las seis barreras más comunes al crecimiento que enfrentan las MSP:

• Evaluaciones manuales: Consume mucho tiempo, es propenso a errores y difícil de escalar
• Sin hoja de ruta de remediación: Los hallazgos sin planes de acción claros frustran a los clientes
• Complejidad del cumplimiento: La alineación manual con múltiples marcos requiere mucho tiempo y es inconsistente
• Falta de contexto empresarial.: Los informes son demasiado técnicos para los responsables de la toma de decisiones
• Escasez de talento: Los expertos en riesgos cualificados son difíciles de encontrar y retener
• Riesgo de terceros no gestionado: La mayoría de las plataformas ignoran el riesgo del proveedor

Para convertir una estrategia de ciberseguridad basada en riesgos en un modelo de servicio rentable y escalable, los MSP necesitan la tecnología adecuada.

Ahí es donde entran en juego las plataformas de gestión de riesgos impulsadas por IA. Estas plataformas agilizan cada paso, desde la evaluación hasta la remediación y la generación de informes, al tiempo que incorporan experiencia de nivel CISO en la prestación de sus servicios.

Seleccionar la plataforma adecuada de gestión de riesgos basada en IA: qué exigir y por qué

Qué esperar de una plataforma moderna de gestión de riesgos

La plataforma de gestión de riesgos adecuada basada en IA evalúa las amenazas y al mismo tiempo acelera la entrega de resultados que impulsan el crecimiento empresarial. Los proveedores de servicios deben esperar:

• Incorporación y prestación de servicios más rápidas con evaluaciones de riesgos automatizadas y fáciles de usar
• Gestión de cumplimiento mejorada a través de la alineación del marco integrado, mapeo automático y monitoreo continuo
• Mayor satisfacción y confianza del cliente con informes de riesgos claros y centrados en el negocio.
• Retorno de la inversión medible al reducir las cargas de trabajo manuales, aumentar la eficiencia y permitir una prestación de servicios más rentable a escala
• Mayores oportunidades de ventas adicionales al identificar los servicios adicionales que los clientes necesitan en función de su perfil de riesgo único.

Cómo elegir la plataforma de gestión de riesgos adecuada basada en IA

Elegir la solución de gestión de riesgos adecuada es clave para ampliar los servicios de ciberseguridad. La plataforma adecuada debería mejorar la eficiencia operativa, ayudar a priorizar las acciones y comunicar los riesgos de manera que resuenen con las partes interesadas del negocio.

Las capacidades clave que se deben buscar en una plataforma moderna de gestión de riesgos incluyen:

• Evaluaciones de riesgos automatizadas: Ofrezca resultados en días en lugar de meses, reduzca el error humano y garantice resultados consistentes y repetibles
• Registro de riesgos dinámico con mapas de calor: Visualice y priorice instantáneamente los riesgos según la gravedad y la probabilidad para centrar los esfuerzos donde más importan.
• Planes de remediación viables: Convierta los hallazgos en tareas claras y priorizadas alineadas con los objetivos comerciales y los requisitos de cumplimiento.
• Tolerancias de riesgo personalizables: Adaptar la puntuación de riesgo y las recomendaciones a los objetivos específicos y al apetito de riesgo de cada cliente.

Para obtener la lista completa de capacidades que debe buscar, descargue La guía de crecimiento de MSP: cómo los MSP utilizan la gestión de riesgos impulsada por IA para escalar su negocio de ciberseguridad.

Cuando estas capacidades se integran en su modelo de servicio, desbloquea la capacidad de escalar operaciones, aumentar los márgenes y aumentar los ingresos sin ampliar la plantilla.

Convertir la gestión de riesgos impulsada por la IA en una ventaja estratégica

La gestión de riesgos basada en IA ayuda a los MSP y MSSP a escalar servicios, mejorar la eficiencia y ofrecer valor continuo a los clientes. Agiliza las evaluaciones, prioriza los riesgos en función del impacto empresarial y respalda la prestación de servicios consistente y de alta calidad.

La guía de crecimiento de MSP: cómo los MSP utilizan la gestión de riesgos basada en IA para escalar su negocio de ciberseguridad muestra cómo integrar la gestión de riesgos impulsada por la IA en su oferta para impulsar el crecimiento a largo plazo.

Descarga la guía para aprender cómo escalar de manera más inteligente, fortalecer las relaciones con los clientes y utilizar la gestión de riesgos como una ventaja competitiva.

Microsoft reveló el jueves detalles de una nueva campaña generalizada de ingeniería social ClickFix que ha aprovechado la Aplicación de terminal de Windows como una forma de activar una cadena de ataque sofisticada y desplegar el malware Lumma Stealer.

La actividad, observada en febrero de 2026, utiliza el programa emulador de terminal en lugar de indicar a los usuarios que inicien el cuadro de diálogo Ejecutar de Windows y peguen un comando en él.

«Esta campaña instruye a los objetivos a utilizar el acceso directo Windows + X → I para iniciar Windows Terminal (wt.exe) directamente, guiando a los usuarios a un entorno de ejecución de comandos privilegiado que se integra con flujos de trabajo administrativos legítimos y parece más confiable para los usuarios», dijo el equipo de Microsoft Threat Intelligence. dicho en una serie de publicaciones sobre X.

Lo que hace que la última variante sea notable es que elude las detecciones diseñadas específicamente para señalar el abuso en el cuadro de diálogo Ejecutar, sin mencionar el aprovechamiento de la legitimidad de Windows Terminal para engañar a usuarios desprevenidos para que ejecuten comandos maliciosos entregados a través de páginas CAPTCHA falsas, mensajes de solución de problemas u otros señuelos de estilo de verificación.

La cadena de ataque posterior al compromiso también es única: cuando el usuario pega un comando codificado en hexadecimal y comprimido XOR copiado de la página de señuelo ClickFix en una sesión de Terminal de Windows, abarca instancias adicionales de Terminal/PowerShell para finalmente invocar un proceso de PowerShell responsable de decodificar el script.

Esto, a su vez, conduce a la descarga de una carga útil ZIP y un binario 7-Zip legítimo pero renombrado, el último de los cuales se guarda en el disco con un nombre de archivo aleatorio. Luego, la utilidad procede a extraer el contenido del archivo ZIP, lo que desencadena una cadena de ataque de varias etapas que implica los siguientes pasos:

• Recuperando más cargas útiles
• Configurar la persistencia mediante tareas programadas
• Configurar exclusiones de Microsoft Defender
• Exfiltración de datos de la máquina y de la red
• Implementar Lumma Stealer usando una técnica llamada Usuario de colaAPC() inyectando el malware en los procesos «chrome.exe» y «msedge.exe»

«El ladrón apunta a artefactos de navegador de alto valor, incluidos datos web y datos de inicio de sesión, recolectando credenciales almacenadas y exfiltrándolas a la infraestructura controlada por el atacante», dijo Microsoft.

El fabricante de Windows dijo que también detectó una segunda vía de ataque, como parte de la cual, cuando el comando comprimido se pega en la Terminal de Windows, descarga un script por lotes con nombres aleatorios a la carpeta «AppData\Local» mediante «cmd.exe» para escribir un script de Visual Basic en la carpeta Temp (también conocida como %TEMP%).

«El script por lotes luego se ejecuta a través de cmd.exe con el argumento de línea de comando /launched. El mismo script por lotes luego se ejecuta a través de MSBuild.exe, lo que resulta en un abuso de LOLBin», agregó. «El script se conecta a los puntos finales RPC de Crypto Blockchain, lo que indica una técnica de ocultación de ether. También realiza una inyección de código basada en QueueUserAPC() en los procesos chrome.exe y msedge.exe para recolectar datos web y datos de inicio de sesión».

El FBI encontró pruebas de que sus redes habían sido objeto de un presunto incidente de ciberseguridad, confirmó la oficina el jueves, sin compartir más detalles.

«El FBI identificó y abordó actividades sospechosas en las redes del FBI y hemos aprovechado todas las capacidades técnicas para responder», dijo la agencia en un comunicado. «No tenemos nada adicional que ofrecer».

cnn y CBS informó que la actividad sospechosa tuvo como objetivo un sistema digital que el FBI utiliza para gestionar y realizar vigilancia, incluido el trabajo relacionado con órdenes de vigilancia extranjeras, escuchas telefónicas y registros de bolígrafos, que se utilizan para rastrear datos telefónicos y informáticos, como direcciones IP y números de teléfono marcados.

En 2024 se supo que el grupo de piratería chino Salt Typhoon había explotado el sistema de escuchas telefónicas de EE. UU. en virtud de la Ley de Asistencia en Comunicaciones para el Cumplimiento de la Ley en la que confían las agencias de inteligencia y las fuerzas del orden, pero CNN informó que no estaba claro si había una conexión entre el 2024 y los incidentes sospechosos recientes.

Tampoco estaba claro cuándo ocurrió el incidente ni quién fue el responsable.

El FBI, como prácticamente todas las agencias federales, no es ajeno a ser atacado o infiltrado por piratas informáticos.

En 2023el FBI dijo que había aislado y contenido una intrusión cibernética en su oficina local de Nueva York. En 2021, los piratas informáticos aprovecharon un servidor del FBI mal configurado para enviar correos electrónicos falsos, aunque la oficina dijo que sus propios sistemas no se vieron afectados.

El Congreso, exagentes y otros han expresado su preocupación por las capacidades cibernéticas del FBI entre los recortes presupuestarios y la pérdida de personal bajo la segunda administración Trump. Brett Leatherman, líder de la división cibernética de la oficina, dijo recientemente a CyberScoop que no ha sufrido ninguna disminución en su capacidad para responder a amenazas e incidentes.

El Departamento de Salud y Servicios Humanos presentó el jueves una herramienta para ayudar a los centros de atención médica a evaluar sus riesgos de ciberseguridad, elevando el énfasis en aquellas amenazas al tipo producido por las condiciones climáticas y otros peligros.

La asistencia de la Administración de Preparación y Respuesta Estratégicas (ASPR) del HHS viene en forma de una actualización al kit de herramientas de identificación de riesgos y criticidad del sitio (RISC) 2.0 para incluir un enfoque específico en la ciberseguridad.

RISC es una herramienta gratuita para ayudar a las organizaciones a identificar amenazas y vulnerabilidades, estimar las consecuencias y compartir sus hallazgos con otros. Ahora también incluirá un módulo de ciberseguridad.

El módulo guía a los usuarios a través de una serie de preguntas y las compara con el influyente Marco de Seguridad Cibernética 2.0 del Instituto Nacional de Estándares y Tecnología, así como con los objetivos voluntarios de desempeño de ciberseguridad del HHS.

John Knox, subsecretario adjunto principal de ASPR, dijo que el cambio fue una respuesta a las crecientes amenazas cibernéticas.

«Este módulo es la última incorporación a nuestro conjunto de herramientas de recursos para ayudar a nuestros socios de atención médica y de salud pública a prevenir la interrupción de la atención al paciente y fortalecer la seguridad sanitaria nacional», dijo Knox en un comunicado de prensa. «Debemos reconocer que la seguridad cibernética es la seguridad del paciente y que las amenazas cibernéticas pueden causar problemas en cascada en toda la industria de la atención médica. El nuevo módulo de ciberseguridad ayudará a nuestros socios a comprender lo que se necesita para fortalecer su resiliencia y les recomendamos encarecidamente que lo aprovechen».

Continúa un énfasis que Charlee Hess de ASPR discutió en CyberTalks el mes pasado, con el histórico ataque Change Healthcare que llevó a la división del HHS a buscar formas de ayudar a las organizaciones a gestionar el riesgo de proveedores externos.

Errol Weiss, director de seguridad del Centro de Análisis e Intercambio de Información de Salud, dijo que la creación del módulo cibernético fue un «movimiento inteligente», ya que el conjunto de herramientas RISC ya se está integrando en miles de sistemas de atención médica. También le gustó el conjunto de herramientas que se basa en el marco del NIST y los objetivos de desempeño del HHS.

«Al poner lo cibernético al lado de otras amenazas y peligros en una plataforma unificada, RISC 2.0 puede ayudar a los líderes de hospitales y sistemas de salud a ver la exposición cibernética en el mismo contexto que los huracanes, los tiradores activos o los cortes de energía», dijo en una respuesta enviada por correo electrónico a CyberScoop. «Esa visibilidad puede impulsar conversaciones más informadas a nivel ejecutivo y de la junta directiva sobre dónde invertir en ciberseguridad, qué brechas son más críticas y cómo las interrupciones cibernéticas podrían generar impactos reales en la atención al paciente».

El ciudadano ruso Evgenii Ptitsyn. se declaró culpable para dirigir el equipo de ransomware Phobos que extorsionó más de 39 millones de dólares a más de 1.000 víctimas en todo el mundo, dijo el Departamento de Justicia el miércoles.

Ptitsyn asumió un papel de liderazgo en el grupo de ransomware Phobos en enero de 2022, pero sus actividades delictivas comenzaron en abril de 2019, según registros judiciales. Continuó liderando el sindicato del cibercrimen hasta mayo de 2024, cuando fue arrestado en Corea del Sur. Ptitsyn fue extraditado a Estados Unidos en noviembre de 2025.

Los fiscales federales retiraron múltiples cargos contra Ptitsyn como parte de un acuerdo de culpabilidad que firmó el mes pasado. Se enfrenta a hasta 20 años de prisión por conspiración para fraude electrónico.

Ptitsyn acordó perder 1,77 millones de dólares en activos y debe pagar al menos 39,3 millones de dólares en restitución, lo que representa el monto total de las pérdidas de sus víctimas.

El hombre de 43 años se declaró culpable de participar en un plan global de ransomware con cómplices a partir de noviembre de 2020. Ptitsyn y sus presuntos asociados distribuyeron el ransomware Phobos a otros cómplices que irrumpieron en las redes de las víctimas, a menudo con credenciales robadas, para robar y cifrar datos, que utilizaron para extorsionar a las víctimas a cambio de pagos.

Los administradores del ransomware Phobos operaban un sitio para coordinar la venta y distribución del ransomware Phobos a los cómplices. Los afiliados que atacaron con éxito a las víctimas con el ransomware pagaron 300 dólares a los administradores por una clave de descifrado única.

Ptitsyn controlaba múltiples carteras de criptomonedas que recibían miles de tarifas de claves de descifrado de afiliados que utilizaban Phobos para extorsionar a las víctimas. Recibió el 25% del pago de la clave de descifrado y, en ocasiones, recibió una parte de los pagos del ransomware.

«Ptitsyn y otros fueron responsables de docenas de ataques de ransomware contra víctimas estadounidenses, incluidas empresas de atención médica, hospitales, instituciones educativas y proveedores de servicios esenciales», dijeron los fiscales federales en una estipulación de hechos en su acuerdo de declaración de culpabilidad.

Las víctimas del ransomware Phobos pagaron una cantidad colectiva de 30 millones de dólares en rescates, según el valor en el momento del pago, según registros judiciales. Las víctimas también sufrieron pérdidas de al menos 9,3 millones de dólares por los ataques del ransomware Phobos, incluida una institución educativa estadounidense que informó pérdidas superiores a los 4 millones de dólares.

«Ptitsyn y otros miembros de la conspiración del ransomware Phobos lanzaron ataques de ransomware contra más de 1.000 víctimas en todo el mundo, incluidas al menos 890 víctimas ubicadas en los Estados Unidos», dijeron los fiscales.

Los funcionarios proporcionaron detalles sobre 15 víctimas estadounidenses anónimas que pagaron un rescate combinado de 536.000 dólares en el momento del pago. Entre las víctimas se encontraban una empresa con sede en Maryland que brindaba servicios de contabilidad y consultoría a agencias federales, un contratista de los Departamentos de Defensa y Energía con sede en Illinois y un hospital infantil en Carolina del Norte.

Puede leer los hechos ingresados ​​en los registros judiciales como parte del acuerdo de declaración de culpabilidad de Ptitsyn a continuación.

La mayoría de las organizaciones asumen que los datos cifrados están seguros.

Pero muchos atacantes ya se están preparando para un futuro en el que se podrá romper el cifrado actual. En lugar de intentar descifrar información ahora, están recopilar datos cifrados y almacenarlos para que pueda ser descifrado más tarde utilizando computadoras cuánticas.

Esta táctica, conocida como “cosechar ahora, descifrar después”—significa que los datos confidenciales transmitidos hoy podrían volverse legibles dentro de unos años, una vez que maduren las capacidades cuánticas.

Los líderes de seguridad que quieran comprender este riesgo y cómo prepararse pueden explorarlo en detalle en el próximo seminario web sobre las mejores prácticas de criptografía poscuánticadonde los expertos explicarán formas prácticas en que las organizaciones pueden comenzar a proteger los datos antes de que sea posible el descifrado cuántico.

Por qué es importante la criptografía poscuántica

La computación cuántica avanza rápidamente y la mayoría de los algoritmos de cifrado modernos, como RSA y ECC, no permanecerán seguros para siempre.

Para las organizaciones que deben mantener la confidencialidad de los datos durante muchos años (registros financieros, propiedad intelectual, comunicaciones gubernamentales), esperar no es una opción.

Un enfoque práctico que está surgiendo hoy es criptografía híbridaque combina el cifrado tradicional con algoritmos resistentes a los cuánticos como ML-KEM. Esto permite a las organizaciones fortalecer la seguridad sin alterar los sistemas existentes.

El Seminario web sobre seguridad preparada para el futuro Explicará cómo funciona la criptografía híbrida en entornos reales y cómo las organizaciones pueden comenzar la transición a protecciones de seguridad cuántica.

Preparándose para la era cuántica

Las organizaciones que se preparan para las amenazas cuánticas se están centrando en algunos pasos clave:

• Identificar datos confidenciales que deben permanecer protegidos a largo plazo
• Comprender dónde se utiliza el cifrado en todos los sistemas
• Comience a adoptar estrategias de criptografía híbrida
• Mantenga la visibilidad de los algoritmos criptográficos y las necesidades de cumplimiento.

Al mismo tiempo, los equipos de seguridad aún deben inspeccionar el tráfico cifrado y aplicar políticas en sus redes. Moderno Arquitecturas de confianza cero desempeñan un papel importante en el mantenimiento de este control.

Estas estrategias, y cómo las implementan plataformas como Zscaler, se discutirán durante la conferencia. sesión de seminario web en vivo diseñado para líderes de TI, seguridad y redes.

Lo que aprenderá en el seminario web

Esta sesión cubrirá:

• El creciente riesgo de Ataques de “cosechar ahora, descifrar después”
• Cómo Cifrado híbrido ML-KEM ayuda a las organizaciones a realizar una transición segura
• Cómo inspección de tráfico post-cuántica permite la aplicación de políticas a escala
• Mejores prácticas para proteger datos confidenciales en la era cuántica

La computación cuántica remodelará la ciberseguridad. Las organizaciones que comiencen a prepararse temprano estarán mejor posicionadas para proteger sus datos más críticos.

Únase al seminario web para aprenda cómo construir una estrategia de seguridad práctica y preparada para la tecnología cuántica antes de que la amenaza se vuelva urgente.

Cisco ha revelado que dos vulnerabilidades más que afectan a Catalyst SD-WAN Manager (anteriormente SD-WAN vManage) han sido explotadas activamente en la naturaleza.

El vulnerabilidades en cuestión se enumeran a continuación –

• CVE-2026-20122 (Puntuación CVSS: 7,1): una vulnerabilidad de sobrescritura de archivos arbitraria que podría permitir a un atacante remoto autenticado sobrescribir archivos arbitrarios en el sistema de archivos local. La explotación exitosa requiere que el atacante tenga credenciales válidas de solo lectura con acceso API en el sistema afectado.
• CVE-2026-20128 (Puntuación CVSS: 5,5): una vulnerabilidad de divulgación de información que podría permitir a un atacante local autenticado obtener privilegios de usuario del Agente de recopilación de datos (DCA) en un sistema afectado. La explotación exitosa requiere que el atacante tenga credenciales de vManage válidas en el sistema afectado.

Cisco lanzó los parches para los defectos de seguridad, junto con CVE-2026-20126, CVE-2026-20129 y CVE-2026-20133, a fines del mes pasado en las siguientes versiones:

• Anterior a la versión 20.91: migre a una versión fija.
• Versión 20.9 – Corregido en 20.9.8.2
• Versión 20.11 – Corregido en 20.12.6.1
• Versión 20.12: corregida en 20.12.5.3 y 20.12.6.1
• Versión 20.13 – Corregido en 20.15.4.2
• Versión 20.14 – Corregido en 20.15.4.2
• Versión 20.15 – Corregido en 20.15.4.2
• Versión 20.16 – Corregido en 20.18.2.1
• Versión 20.18 – Corregido en 20.18.2.1

«En marzo de 2026, Cisco PSIRT se dio cuenta de la explotación activa de las vulnerabilidades que se describen únicamente en CVE-2026-20128 y CVE-2026-20122», dijo el especialista en equipos de redes. La empresa no dio más detalles sobre la escala de la actividad y quién podría estar detrás de ella.

A la luz de la explotación activa, se recomienda a los usuarios actualizar a una versión de software fija lo antes posible y tomar medidas para limitar el acceso desde redes no seguras, proteger los dispositivos detrás de un firewall, deshabilitar HTTP para el portal de administrador de la interfaz de usuario web de Catalyst SD-WAN Manager, desactivar servicios de red como HTTP y FTP si no son necesarios, cambiar la contraseña de administrador predeterminada y monitorear el tráfico de registro para detectar cualquier tráfico inesperado hacia y desde los sistemas.

La divulgación se produce una semana después de que la compañía dijera que una falla de seguridad crítica en Cisco Catalyst SD-WAN Controller y Catalyst SD-WAN Manager (CVE-2026-20127, puntuación CVSS: 10.0) había sido explotada por un actor de amenazas cibernéticas altamente sofisticado rastreado como UAT-8616 para establecer puntos de apoyo persistentes en organizaciones de alto valor.

Esta semana, Cisco también actualizaciones publicadas para abordar dos vulnerabilidades de seguridad de máxima gravedad en Secure Firewall Management Center (CVE-2026-20079 y CVE-2026-20131puntuaciones CVSS: 10.0) que podrían permitir a un atacante remoto no autenticado eludir la autenticación y ejecutar código Java arbitrario como root en un dispositivo afectado.

Cisco publicó el miércoles información sobre un par de vulnerabilidades de máxima gravedad en su software de administración de firewall que atacantes remotos no autenticados podrían explotar para obtener el más alto nivel de acceso al sistema operativo subyacente o a los dispositivos afectados.

Las vulnerabilidades – CVE-2026-20079 y CVE-2026-20131 – afectan la interfaz basada en web del software Cisco Secure Firewall Management Center (FMC), independientemente de la configuración del dispositivo, dijo el proveedor.

Cisco reveló las vulnerabilidades críticas una semana después de advertir que los atacantes han estado explotando un par de días cero en el software de red de Cisco durante al menos tres años. Esa campaña, que está en curso, marcó la segunda serie de múltiples días cero explotados activamente en la tecnología de punta de Cisco desde la primavera pasada.

Ambas campañas llevaron a la Agencia de Seguridad de Infraestructura y Ciberseguridad a emitir directivas de emergencia meses después de que se detectaran los ataques por primera vez, y ambas oleadas de ataques estuvieron en marcha durante al menos un año antes de que fueran descubiertas.

Cisco dijo que las nuevas vulnerabilidades fueron reveladas y reparadas como parte de su actualización semestralque contenía 48 vulnerabilidades en múltiples productos de seguridad.

«En el momento de la publicación, Cisco PSIRT (equipo de respuesta a incidentes de seguridad pública) no tiene conocimiento de ningún uso malicioso de estas vulnerabilidades», dijo un portavoz de la empresa a CyberScoop.

«Recomendamos encarecidamente a los clientes que actualicen a las versiones de software fijas disponibles que aborden estas vulnerabilidades», añadió el portavoz.

Una de las vulnerabilidades del software Cisco Secure FMC, CVE-2026-20079, permite a los atacantes eludir la autenticación y ejecutar archivos de script en un dispositivo afectado para obtener acceso raíz al sistema operativo.

«Esta vulnerabilidad se debe a un proceso inadecuado del sistema que se crea en el momento del arranque», dijo Cisco en un aviso de seguridad.

Cisco dijo que el segundo defecto crítico, CVE-2026-20131, es una falla de deserialización que permite a los atacantes lograr la ejecución remota de código.

«Un atacante podría explotar esta vulnerabilidad enviando un objeto Java serializado y diseñado a la interfaz de administración basada en web de un dispositivo afectado», dijo el proveedor en un aviso de seguridad. «Un exploit exitoso podría permitir al atacante ejecutar código arbitrario en el dispositivo y elevar los privilegios a root».

Cisco describe el producto afectado como el «centro neurálgico administrativo» para la gestión de firewall, control de aplicaciones, prevención de intrusiones, filtrado de URL y protección contra malware.

No existen soluciones para ninguna de las vulnerabilidades. Cisco no dijo cómo podrían estar relacionadas las vulnerabilidades, si se pueden encadenar para explotarlas, ni cuándo y bajo qué circunstancias se dio cuenta de los defectos.

Investigadores de ciberseguridad han revelado detalles de una nueva campaña cibernética rusa dirigida a entidades ucranianas con dos familias de malware previamente indocumentadas llamadas pata mala y MiauMiau.

«La cadena de ataque se inicia con un correo electrónico de phishing que contiene un enlace a un archivo ZIP. Una vez extraído, un archivo HTA inicial muestra un documento señuelo escrito en ucraniano sobre apelaciones para cruzar la frontera para engañar a la víctima», ClearSky dicho en un informe publicado esta semana.

En paralelo, la cadena de ataque conduce a la implementación de un cargador basado en .NET llamado BadPaw, que luego establece comunicación con un servidor remoto para buscar e implementar una puerta trasera sofisticada llamada MeowMeow.

La campaña se ha atribuido con moderada confianza al actor de amenazas patrocinado por el estado ruso conocido como APT28, basándose en la huella de objetivos, la naturaleza geopolítica de los señuelos utilizados y las superposiciones con técnicas observadas en operaciones cibernéticas rusas anteriores.

El punto de partida de la secuencia de ataque es un correo electrónico de phishing enviado desde ukr.[.]net, probablemente en un intento de establecer credibilidad y asegurar la confianza de las víctimas objetivo. En el mensaje hay un enlace a un supuesto archivo ZIP, lo que hace que el usuario sea redirigido a una URL que carga una «imagen excepcionalmente pequeña», actuando efectivamente como un píxel de seguimiento para indicar a los operadores que se hizo clic en el enlace.

Una vez que se completa este paso, la víctima es redirigida a una URL secundaria desde donde se descarga el archivo. El archivo ZIP incluye una aplicación HTML (HTA) que, una vez iniciada, suelta un documento señuelo como mecanismo de distracción, mientras ejecuta etapas de seguimiento en segundo plano.

«El documento señuelo arrojado sirve como una táctica de ingeniería social, presentando una confirmación de recibo de una apelación del gobierno sobre un cruce fronterizo con Ucrania», dijo ClearSky. «Este señuelo tiene como objetivo mantener el barniz de legitimidad».

El archivo HTA también realiza comprobaciones para evitar su ejecución en entornos sandbox. Para ello, consulta la clave del Registro de Windows «KLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate» para estimar la «antigüedad» del sistema operativo. El malware está diseñado para cancelar la ejecución si el sistema se instaló menos de diez días antes.

Si el sistema cumple con los criterios del entorno, el malware localiza el archivo ZIP descargado y extrae dos archivos de él (un Visual Basic Script (VBScript) y una imagen PNG) y los guarda en el disco con nombres diferentes. También crea una tarea programada para ejecutar VBScript como una forma de garantizar la persistencia en el sistema infectado.

La responsabilidad principal de VBScript es extraer código malicioso incrustado en la imagen PNG, un cargador ofuscado conocido como BadPaw que es capaz de contactar a un servidor de comando y control (C2) para descargar componentes adicionales, incluido un ejecutable llamado MeowMeow.

«De acuerdo con el oficio ‘BadPaw’, si este archivo se ejecuta independientemente de la cadena de ataque completa, inicia una secuencia de código ficticio», explicó la compañía israelí de ciberseguridad. «Esta ejecución señuelo muestra una interfaz gráfica de usuario (GUI) que presenta una imagen de un gato, alineándose con el tema visual del archivo de imagen inicial del cual se extrajo el malware principal».

«Cuando se hace clic en el botón ‘MeowMeow’ dentro de la GUI del señuelo, la aplicación simplemente muestra un mensaje ‘Meow Meow Meow’, sin realizar más acciones maliciosas. Esto sirve como un señuelo funcional secundario para engañar al análisis manual».

El código malicioso de la puerta trasera se activa solo cuando se ejecuta con un determinado parámetro («-v») proporcionado por la cadena de infección inicial, y después de verificar que se está ejecutando en un punto final real en lugar de en una zona de pruebas, y que no se ejecutan herramientas forenses y de monitoreo como Wireshark, Procmon, Ollydbg y Fiddler en segundo plano.

En esencia, MeowMeow está equipado para ejecutar de forma remota comandos de PowerShell en el host comprometido y admitir operaciones del sistema de archivos, como la capacidad de leer, escribir y eliminar datos. ClearSky dijo que identificó cadenas en idioma ruso en el código fuente, lo que refuerza la evaluación de que la actividad es obra de un actor de amenazas de habla rusa.

«La presencia de estas cadenas en ruso sugiere dos posibilidades: el actor de la amenaza cometió un error de seguridad operativa (OPSEC) al no localizar el código para el entorno de destino ucraniano, o inadvertidamente dejó artefactos de desarrollo rusos dentro del código durante la fase de producción del malware», dijo.