No tienes artículos en tu carrito de compras.
Rss

Entradas de blog etiquetadas con ' #ia '

¡Alerta React/Next.js! tu código no está solo: La defensa inteligente de Barracuda contra ataques críticos

El fin de las infecciones en la web: Barracuda WAF elimina vulnerabilidades críticas de React y Next.js

Mitigación de amenazas críticas de React y ejecución remota de código (RCE) Next.js con Barracuda Application Protection.

Estatus de la Amenaza

  • Dos vulnerabilidades recientes de RCE (Ejecución Remota de Código) permiten la explotación no autenticada en ciertas aplicaciones internas o dirigidas al cliente.
  • Los clientes que ejecuten React Server Components (19.0.0–19.2.0 o versiones específicas de Next.js deben actualizarse inmediatamente y revisar las directrices de Barracuda Campus.
  • Barracuda Application Protection proporciona una defensa proactiva mediante detección basada en firmas, análisis conductual e inteligencia de amenazas impulsada por IA, sin necesidad de intervención manual.
  • BarracudaONE ofrece visibilidad centralizada y defensas en capas en la seguridad del correo electrónico, la red y las aplicaciones, garantizando resiliencia frente a amenazas en evolución.

Dos vulnerabilidades críticas de ejecución remota de código (RCE) recién reveladas (CVE-2025-55182 / CVE-2025-66478) suponen una amenaza seria para las aplicaciones basadas en React y Next.js. Estos fallos permiten a los atacantes ejecutar código arbitrario en sistemas vulnerables, lo que puede llevar a compromisos de aplicaciones, accesos no autorizados y posible pérdida de datos.

La importancia de Identificarlas

La explotación no requiere autenticación, lo que ofrece a los atacantes una vía rápida para tomar el control de aplicaciones, robar datos sensibles o interrumpir servicios críticos. Con React y Next.js impulsando innumerables aplicaciones internas y orientadas al cliente, la superficie de ataque es considerable y el riesgo es inmediato. Las organizaciones sin protecciones sólidas se encuentran muy expuestas.

Recomendaciones para la Protección Correcta de las Aplicaciones

Como parte de Barracuda Application Protection, Barracuda Web Application Firewall (WAF) y Barracuda WAF-as-a-Service proporcionan protección automática contra ataques de ejecución remota de código como los que presentan estas vulnerabilidades.

Las actualizaciones de seguridad se publican regularmente para todos los clientes que ejecutan las versiones 12.1, 12.2 y GA, apoyadas por la inteligencia de amenazas basada en la nube de Barracuda, que ofrece defensa en tiempo real mediante actualizaciones de firmas y detección activa.

Aconsejamos a todos los clientes revisar su inventario de aplicaciones para identificar cualquier uso de React o Next.js con los componentes del servidor React, y actualizar a las últimas versiones de React (19.2.1) y Next.js (16.0.7, 15.5.7 y 15.4.8).

Para entornos que no usan las versiones vulnerables de React o Next.js, no es necesario hacer nada más en este momento.

Qué podemos ofrecerte con Barracuda WAF

  • Puntos de Guardados Automáticos: Bloquea instantáneamente cargas útiles maliciosas diseñadas para explotar vulnerabilidades de React y Next.js.
  • Defensas en Capas: Combina la detección basada en firmas, análisis conductual e inteligencia de amenazas impulsadas por IA para detener intentos de RCE.
  • Actualizaciones Continuas: Actualizaciones de firmas en tiempo real a través de la red global de inteligencia de amenazas de Barracuda.

Barracuda WAF-as-a-Service

Es un servicio de seguridad de aplicaciones web completo e integrado en la nube, diseñado para proteger aplicaciones contra una amplia gama de amenazas cibernéticas de capa 7 (HTTP/S), como ataques DDoS, inyección SQL, cross-site scripting (XSS), y bots maliciosos.

Conoce más

Alerta de ciberamenaza: Sinobi El Ransomware que solo ataca a la lista A.

Sinobi: El grupo de Ransomware adinerado que desea convertirse en ninja

La marca de Ransomware Sinobi surgió a mediados de 2025 y rápidamente se ha distinguido por sus intrusiones calculadas, su seguridad operativa disciplinad ay una estructura profesional que revela operadores altamente capacitados y bien conectados.

Sinobi es una organización híbrida de ransomware como servicio (RaaS). Sus miembros principales colaboran con afiliados rigurosamente seleccionados para mantener un control centralizado y una capacidad operativa distribuida. Las técnicas del grupo mejoran a medida que este madura. Las operaciones de Sinobi se caranterizan por intrusiones silenciosas, herramientas modulares, objetivos selectivos y un fuerte énfasis tanto en el sigilo como en el aprovechamiento de recursos. EL grupo también es conocido por su uso extenso y sofisticado de ransowmare aprovechando (LotL) y brinarios (LOLBins).

Características

  • Tipo de amenaza. Grupo hibrido de RaaS que utiliza operadores internos y socios afiliados verificados para realizar ataques de doble extorsión dirigidos.
  • Riesgo único. Cadena de intrusión modular, sofisticadas operaciones LotL que se asemejan a las tácticas de los estados-nación.
  • Objetivos. Organizaciones medianas y grandes de diversos sectores de Estados Unidos y países aliados.
  • Acceso inicial. Credenciales comprometidas, vulnerabilidades en aplicaciones y acceso remoto, así como una vulneración de la cadena de suministro de terceros.
  • Sinobi: El grupo de Ransomware adinerado que desea convertirse en ninja


Sitios de fugas. “Sinobi”-Un sitio web sencillo, basado en la red Tor, que publica lista de víctimas, ejemplos de datos robados y un contador regresivo. El grupo gestiona sitios web independientes para filtrar información para chatear, ambos con réplicas web claras.


Nombre y ubicación

La palabra Sinobi parece ser una referencia estilizada y deliberada a (Shinobi) un termino japonés antiguo para ninja. Las primeras comunicaciones internas en foros de la dark web mostraban a afiliados usandos frases como (silencio al entrar, silencio al salir), lo que reforzaba la creencia de que la identidad de la marca buscaba proyectar sigilo y precisión ninja.

A pesar de su nombre de inspiración japonesa, los patrones de comunicación, las peculiaridades lingüísticas y los periodos de actividad indican un origen ruso y de Europa del este. Las herramientas y negociaciones de Sinobi se llevan a cabo principalmente en ruo e inglés, sin que existan inidicios de afiliación estatal. Se trata de un grupo de ciberdelincuentes con fines económicos que opera dentro de un ecosistema regional conocido. Una investigación independiente realizada indica que la ubicación nos menciona al menos una IP en Rusia.

Sinobi ofrece réplicas en la web abierta de sus sitios de filtración y chat en la dark web, pero la mayor parte de su infraestructura permanece en recursos basados en TOR , foros de la dark web y servicios de mensajería cifrada como Telegram. Esto dificulta la visualización y captura de las direcciones IP de los servidores de comando y control (C2).

Victimología, operaciones y modelo de negocio

Sinobi no parece estar alineado con los intereses estatales ni con ninguna otra ideología. El grupo se centra en organizaciones con una tolerancia muy baja a las interrupciones del servicio o las filtraciones de datos. Sectores como el manufacturero, los servicios empresariales, la sanidad, los servicios financieros, la educación y otros han sido víctimas de Sinobi. El grupo rara vez ataca a empresas más pequeñas, probablemente debido a la baja rentabilidad de la inversión en el ataque.


No existe información pública sobre las regiones o industrias «protegidas». Sin embargo, Sinobi se centra principalmente en entidades de Estados Unidos, con un enfoque secundario en Canadá, Australia y países aliados. El grupo evita objetivos que podrían provocar una respuesta política o policial, en particular agencias gubernamentales, empresas de servicios públicos y entidades de toda Europa del Este.

Sinobi se diferencia de los programas RaaS abiertos que permiten a los afiliados registrarse o solicitar serlo. El grupo se basa en una red privada y verificada de especialistas conocidos por el grupo o presentados por fuentes de confianza. Este enfoque permite a Sinobi evitar actividades de reclutamiento como esta:

Dado que Sinobi no recluta como otros grupos de RaaS, no existe una lista pública de sus normas, requisitos de afiliación, objetivos prohibidos ni otros detalles operativos. Esto reduce la vulnerabilidad del grupo a la infiltración policial y limita la inteligencia de fuentes abiertas (OSINT) disponible.

Los investigadores creen que los operadores principales de Sinobi mantienen el código del Ransomware y la infraestructura basada en Tor, llevan a cabo las negociaciones, gestionan el blanqueo de dinero y los esquemas de (cobro) de rescates, y hacen cumplir las normas del grupo. Los afiliados realizan los ataques, desde la intrusión hasta el despliegue del Ransomware. Esta división de responsabilidades se basa en patrones observados en las operaciones de Sinobi, las notas de rescate, las estructuras de los portales y los procesos de negociación. No existe confirmación pública de esto, y se desconoce el reparto de ingresos entre los miembros principales y los afiliados.

Cadena de ataque

Como la mayoría de los grupos de ransomware, la cadena de ataque de Sinobi comienza con la obtención de acceso inicial al entorno de la víctima. Se ha observado que el grupo utiliza intermediarios de acceso inicial (IAB), ataques de phishing mediante kits de phishing comerciales y la explotación de VPN, firewalls o sistemas de acceso remoto vulnerables, como Citrix o Fortinet. Sinobi también recurre a un tercero comprometido y sigue una cadena de suministro para infiltrarse en la víctima.

Los operadores de Sinobi siguen una cadena de ataque estándar que comparte muchos de los mismos patrones observados en RansomHub, ALPHV/BlackCat y otros grupos desde la filtración del Ransomware Conti.

Una vez dentro del sistema, Sinobi inicia de inmediato una intrusión directa mediante el uso de herramientas personalizadas y técnicas de explotación de recursos del sistema. Los atacantes comienzan a escalar privilegios y a evadir la seguridad, creando nuevas cuentas de administrador, ajustando permisos y deshabilitando herramientas de seguridad en los endpoints. También comienzan a establecer persistencia configurando herramientas legítimas de acceso remoto.

A continuación, Sinobi despliega un script de reconocimiento ligero que automatiza el movimiento lateral y realiza tareas adicionales de evasión de seguridad. El script está configurado para enumerar información del dominio, localizar recursos compartidos de archivos, identificar cuentas con privilegios y comprobar si existen soluciones de seguridad en los endpoints que puedan interrumpir el ataque de Ransomware.

La exfiltración de datos comienza una vez que el atacante ha completado el reconocimiento y configurado Rclone, WinSCP u otra herramienta de transferencia de archivos. Los datos se envían a un almacenamiento en la nube u otra ubicación externa, y el binario del Ransomware se ejecuta al finalizar este proceso.

El archivo binario del Ransomware no tiene un nombre único, pero suele ser genérico u ofuscado, como (bin.exe). Este archivo vacía la Papelera de reciclaje, cifra los archivos, les añade la #extensión .SINOBI# y coloca el archivo de rescate README.txt en cada directorio con archivos cifrados. Finalmente, cambia el fondo de pantalla por una imagen que muestra el texto de la nota de rescate.


Extorsión y negociación

Sinobi comenzó como una operación de extorsión simple, pero a finales de 2024 cambió a una estrategia de doble extorsión utilizando un sitio de filtración alojado en la red Tor. Las víctimas suelen ser contactadas mediante la nota de rescate mencionada anteriormente. Si las víctimas no responden, Sinobi intensifica la presión publicando muestras de datos y contactando a empleados o clientes. El grupo también amenaza a la empresa con denuncias por incumplir normativas como el RGPD, la HIPAA o los requisitos de divulgación de la SEC.

Las negociaciones las lleva a cabo un pequeño grupo de operadores clave que utilizan patrones de comunicación preestablecidos y tácticas de presión adaptadas al sector y la normativa de la víctima. El objetivo es siempre generar urgencia, no pánico: una gestión profesional en lugar de caos.

Amigos y familiares

La historia de Sinobi comienza a mediados de 2023, cuando un grupo de ciberdelincuentes conocido como INC surgió aparentemente de la nada. Se cree que INC es un grupo original sin relación con otros grupos de ciberdelincuentes. Operó como un servicio de ransomware hasta mayo de 2024, cuando se puso a la venta en foros clandestinos.

Se pueden observar las similitudes entre los sitios de filtraciones de INC, Lynx y Sinobi.

Más allá de esto, existen similitudes en la rutina de cifrado, la victimología, la metodología de doble extorsión y los procedimientos operativos.

Sinobi se aprovecha al máximo del ecosistema de amenazas. Habitualmente compra acceso a IAB, alquila infraestructura a proveedores de alojamiento a prueba de balas, obtiene credenciales de mercados de la darknet y, ocasionalmente, colabora con operadores de botnets para la distribución de phishing. Sus prácticas de blanqueo de capitales y monetización son indistinguibles de las utilizadas por Qilin y Akira.

Protégete

Todos los indicadores sugieren que Sinobi está en una trayectoria de crecimiento. A medida que el mercado del Ransomware continúa fragmentándose y evolucionando, Sinobi está bien posicionado para expandir su red de afiliados, fortalecer sus herramientas y, potencialmente, añadir variantes dirigidas a Linux o VMware ESXi. Su discreto profesionalismo y la moderación en la frecuencia de sus publicaciones indican que se trata de un grupo que prefiere los ingresos sostenibles al crecimiento explosivo, lo que podría ayudarles a evitar el destino de grupos de alto perfil que atraen una fuerte presión policial.

Sinobi representa una amenaza de Ransomware avanzada y ágil. Las organizaciones pueden reducir significativamente el riesgo centrándose en la gestión de credenciales, la concienciación de los empleados, la monitorización proactiva y las inversiones continuas en copias de seguridad, detección y respuesta. La prevención y la respuesta rápida son actualmente los medios más eficaces para defenderse de esta amenaza.