Archivo mensual junio 2020

Pormalwarebytes

Una guía de día cero para 2020: ataques recientes y técnicas preventivas avanzadas

Una guía de día cero para 2020: ataques recientes y técnicas preventivas avanzadas

Una guía de día cero para 2020: ataques recientes y técnicas preventivas avanzadas

Al corriente: por 
Última actualización:

Las vulnerabilidades de día cero permiten a los actores de amenazas aprovechar los puntos ciegos de seguridad. Por lo general, un ataque de día cero implica la identificación de vulnerabilidades de día cero, la creación de exploits relevantes, la identificación de sistemas vulnerables y la planificación del ataque. Los siguientes pasos son la infiltración y el lanzamiento. 

Este artículo examina tres ataques recientes de día cero, dirigidos a Microsoft, Internet Explorer y Sophos. Finalmente, aprenderá acerca de cuatro soluciones de protección y prevención de día cero: NGAV, EDR, IPsec y controles de acceso a la red. 

¿Qué es una vulnerabilidad de día cero?

Las vulnerabilidades de día cero son amenazas críticas que aún no se divulgan públicamente o que solo se descubren como resultado de un ataque. Por definición, los vendedores y usuarios aún no conocen la vulnerabilidad. El término día cero proviene del momento en que se descubre la amenaza (día cero). A partir de este día, se produce una carrera entre los equipos de seguridad y los atacantes para corregir o explotar la amenaza primero. 

Anatomía de un ataque de día cero

Un ataque de día cero ocurre cuando los delincuentes explotan una vulnerabilidad de día cero. La línea de tiempo de un ataque de día cero a menudo incluye los siguientes pasos. 

  1. Identificación de vulnerabilidades : los delincuentes prueban el código abierto y las aplicaciones propietarias para detectar vulnerabilidades que aún no se han informado. Los atacantes también pueden recurrir a los mercados negros para comprar información sobre vulnerabilidades que aún no son públicas. 
  2. Creación de exploits : los atacantes crean un kit, script o proceso que les permite explotar la vulnerabilidad descubierta.
  3. Identificación de sistemas vulnerables : una vez que hay un exploit disponible, los atacantes comienzan a buscar los sistemas afectados. Esto puede implicar el uso de escáneres automáticos, bots o sondeos manuales. 
  4. Planificación del ataque : el tipo de ataque que un criminal quiere lograr determina este paso. Si se ataca un ataque, los atacantes generalmente realizan un reconocimiento para reducir sus posibilidades de ser capturados y aumentar las posibilidades de éxito. Para los ataques generales, es más probable que los delincuentes usen campañas de phishing o bots para tratar de alcanzar tantos objetivos lo más rápido posible.
  5. Infiltración y lanzamiento : si una vulnerabilidad requiere primero infiltrarse en un sistema, los atacantes trabajan para hacerlo antes de implementar el exploit. Sin embargo, si se puede explotar una vulnerabilidad para obtener acceso, la vulnerabilidad se aplica directamente. 

Ejemplos recientes de ataques

La prevención efectiva de ataques de día cero es un desafío importante para cualquier equipo de seguridad. Estos ataques se producen sin previo aviso y pueden pasar por alto muchos sistemas de seguridad. Particularmente aquellos que dependen de métodos basados ​​en firmas. Para ayudar a mejorar su seguridad y disminuir su riesgo, puede comenzar aprendiendo sobre los tipos de ataques que ocurrieron recientemente.

Microsoft

En marzo de 2020, Microsoft advirtió a los usuarios de ataques de día cero que explotaban dos vulnerabilidades separadas. Estas vulnerabilidades afectaron a todas las versiones compatibles de Windows y no se esperaba ningún parche hasta semanas después. Actualmente no hay un identificador CVE para esta vulnerabilidad. 

Los ataques apuntaron a vulnerabilidades de ejecución remota de código (RCE) en la biblioteca Adobe Type Manager (ATM). Esta biblioteca está integrada en Windows para administrar las fuentes PostScript Tipo 1. Las fallas en los cajeros automáticos permitieron a los atacantes usar documentos maliciosos para ejecutar scripts de forma remota. Los documentos llegaron por correo no deseado o fueron descargados por usuarios desprevenidos. Cuando se abren o se previsualizan con el Explorador de archivos de Windows, los scripts se ejecutarán e infectarán los dispositivos de los usuarios. 

explorador de Internet

Internet Explorer (IE), el navegador heredado de Microsoft, es otra fuente reciente de ataques de día cero. Esta vulnerabilidad ( CVE-2020-0674 ) ocurre debido a una falla en la forma en que el motor de secuencias de comandos de IE administra los objetos en la memoria. Afectó a IE v9-11.

Los atacantes pueden aprovechar esta vulnerabilidad engañando a los usuarios para que visiten un sitio web diseñado para explotar la falla. Esto se puede lograr mediante correos electrónicos de phishing o mediante la redirección de enlaces y solicitudes del servidor.

Sophos

En abril de 2020, se informaron ataques de día cero contra el firewall XG de Sophos. Estos ataques intentaron explotar una vulnerabilidad de inyección SQL ( CVE-2020-12271 ) dirigida al servidor de base de datos PostgreSQL incorporado del firewall.

Si se explota con éxito, esta vulnerabilidad permitiría a los atacantes inyectar código en la base de datos. Este código podría usarse para modificar la configuración del firewall, otorgar acceso a los sistemas o permitir la instalación de malware. 

Protección y prevención

Para defenderse adecuadamente de los ataques de día cero, debe aplicar protecciones avanzadas sobre sus herramientas y estrategias existentes. A continuación se presentan algunas soluciones y prácticas diseñadas para ayudarlo a detectar y prevenir amenazas desconocidas. 

Antivirus de última generación

El antivirus de próxima generación (NGAV) se expande sobre el antivirus tradicional. Lo hace mediante la inclusión de características para el aprendizaje automático, la detección de comportamiento y la mitigación de vulnerabilidades. Estas características permiten que NGAV detecte malware incluso cuando no se conoce ninguna firma o hash de archivo (en el que se basa el AV tradicional). 

Además, estas soluciones suelen estar basadas en la nube, lo que le permite implementar herramientas de forma aislada y a escala. Esto ayuda a garantizar que todos sus dispositivos estén protegidos y que las protecciones permanezcan activas incluso si los dispositivos se ven afectados.

Detección de punto final y respuesta

Las soluciones de detección y respuesta de punto final (EDR) proporcionan visibilidad, monitoreo y protecciones automatizadas a sus puntos finales. Estas soluciones monitorean todo el tráfico de punto final y pueden usar inteligencia artificial para clasificar comportamientos sospechosos de punto final, como, por ejemplo, solicitudes frecuentes o conexiones de IP extranjeras. Estas capacidades le permiten bloquear amenazas independientemente del método de ataque. 

Además, las funciones EDR se pueden usar para rastrear y monitorear usuarios o archivos. Mientras el aspecto rastreado se comporte dentro de las pautas normales, no se toman medidas. Sin embargo, tan pronto como el comportamiento se desvía, los equipos de seguridad pueden ser alertados. 

Estas capacidades no requieren conocimiento de amenazas específicas. En cambio, las capacidades aprovechan la inteligencia de amenazas para hacer comparaciones generalizadas. Esto hace que EDR sea efectivo contra ataques de día cero. 

Seguridad IP

La seguridad IP (IPsec) es un conjunto de protocolos estándar utilizados por los grupos de trabajo de ingeniería de Internet (IETF). Permite a los equipos aplicar medidas de autenticación de datos y verificar la integridad y la confidencialidad entre los puntos de conexión. También permite el cifrado y la gestión e intercambio seguro de claves. 

Puede usar IPsec para autenticar y cifrar todo el tráfico de su red. Esto le permite asegurar las conexiones e identificar y responder rápidamente a cualquier tráfico sospechoso o que no sea de la red. Estas habilidades le permiten aumentar la dificultad de explotar vulnerabilidades de día cero y disminuir la posibilidad de que los ataques sean exitosos. 

Implemente controles de acceso a la red

Los controles de acceso a la red le permiten segmentar sus redes de forma altamente granular. Esto le permite definir exactamente qué usuarios y dispositivos pueden acceder a sus activos y a través de qué medios. Esto incluye restringir el acceso solo a aquellos dispositivos y usuarios con los parches o herramientas de seguridad apropiados. 

Los controles de acceso a la red pueden ayudarlo a garantizar que sus sistemas estén protegidos sin interferir con la productividad ni forzar la restricción completa del acceso externo. Por ejemplo, el tipo de acceso necesario cuando aloja software como servicio (SaaS). 

Estos controles son beneficiosos para protegerse contra las amenazas de día cero porque le permiten evitar el movimiento lateral en sus redes. Esto aísla efectivamente cualquier daño que pueda causar una amenaza de día cero. 

Mantenerse a salvo

Los recientes ataques de día cero muestran que cada vez más actores de amenazas encuentran una marca fácil en los usuarios finales. El ataque de día cero en Microsoft explotó las vulnerabilidades de los cajeros automáticos para engañar a los usuarios para que abrieran malware. Cuando los actores de amenazas explotaron una vulnerabilidad de día cero de Internet Explore, engañaron a los usuarios para que visitaran sitios maliciosos. El ataque de día cero contra Sophos podría potencialmente otorgar acceso de usuario a actores de amenazas. 

Sin embargo, si bien los ataques de día cero son difíciles de predecir, es posible prevenirlos y bloquearlos. La seguridad EDR permite a las organizaciones ampliar la visibilidad en los puntos finales, y el antivirus de próxima generación brinda protección contra malware sin tener que depender de firmas conocidas. Los protocolos IPsec permiten a la organización autenticar y encriptar el tráfico de red, y los controles de acceso a la red proporcionan las herramientas para negar el acceso a actores maliciosos. No dejes que los actores de amenazas tengan la ventaja. Al utilizar y aplicar varias de estas herramientas y enfoques, puede proteger mejor a sus empleados, sus datos y su organización.

Pormalwarebytes

Fortalecimiento y olvido de contraseñas con Matt Davey y Kyle Swank

Fortalecimiento y olvido de contraseñas con Matt Davey y Kyle Swank

Al corriente: por 

Esta semana en Lock and Code, discutimos los principales titulares de seguridad generados aquí en Labs y en Internet. Además, hablamos con Matt Davey, jefe de optimistas de operaciones de 1Password, y Kyle Swank, miembro del equipo de seguridad de 1Password, sobre, qué más, contraseñas.

Es posible que sepamos que es importante tener una contraseña larga, segura e indescifrable y, sin embargo, probablemente todos conozcamos a alguien que escriba su contraseña en un post-it, que luego se coloca literalmente en su máquina. En el episodio de hoy, hablamos de contraseñas seguras, alternativas de contraseña y el futuro, y la posible muerte, de las contraseñas.

Sintonice todo esto y más en el último episodio de Lock and Code, con el presentador David Ruiz.

También puede encontrarnos en la  tienda Apple iTunes ,  Google Play Music y Spotify , además de cualquier plataforma de podcast preferida que utilice.

Cubrimos nuestra propia investigación sobre:

  • Fin de línea: observamos lo que sucede en un mundo donde sus dispositivos domésticos caros pueden perder soporte sin mucha advertencia
  • Tecnología de reconocimiento facial: proporcionamos un resumen sobre el cual las compañías recientemente decidieron no proporcionar la tecnología a las fuerzas del orden.

Además de otras noticias de ciberseguridad:

Pormalwarebytes

VPN: ¿deberías usarlos?

VPN: ¿deberías usarlos?

VPN: ¿deberías usarlos?

Al corriente: por 

Vamos a hablar hoy sobre algo que probablemente haya escuchado antes: VPN o redes privadas virtuales . En Malwarebytes hemos profundizado en estas herramientas en mayor profundidad , y las hemos discutido literalmente en las ondas digitales .

Pero queremos responder una pregunta que hemos estado recibiendo cada vez más. La gente ya no tiene tanta curiosidad acerca de qué es una VPN, como si deberían usar una.

La respuesta es, depende. Para eso, estamos aquí para ayudar.

Cómo funciona una VPN

Para comprender cómo funciona una VPN y si debe usar una, lo mejor es comprender primero qué sucede cuando navega por Internet. Cada vez que abres un navegador web y vas a un sitio web, te estás conectando a ese sitio web e intercambiando información con él. Este es su «tráfico» de Internet, y puede revelar bastante información sobre usted, incluidos los sitios web que visita, su dirección IP y más.

Una VPN actúa como un «túnel» para su tráfico de Internet. Su tráfico entra en el túnel y sale de uno de los nodos de salida del servicio VPN. El túnel cifra sus datos, haciéndolos indescifrables para su proveedor de servicios de Internet (ISP). En el mejor de los casos, su ISP puede ver que parte del tráfico encriptado va a un servicio VPN, pero no el contenido de ese tráfico, y no de dónde sale.

Lo interesante a tener en cuenta aquí es que, con esta funcionalidad básica, una VPN puede satisfacer muchas necesidades diferentes. Como escribimos antes :

Dependiendo de a quién le pregunte, una VPN es cualquiera de estos: [1] un túnel que se encuentra entre su dispositivo informático e Internet, [2] lo ayuda a permanecer anónimo en línea, evitando la vigilancia gubernamental, el espionaje y la recopilación excesiva de datos de grandes empresas, [3] una herramienta que encripta su conexión y enmascara su verdadera dirección IP con una que pertenece a su proveedor de VPN, [4] una pieza de software o aplicación que le permite acceder a recursos privados (como archivos de la empresa en su intranet de trabajo) o sitios que generalmente están bloqueados en su país o región.

Sin una VPN, su proveedor de servicios de Internet o ISP puede ver casi todo con lo que interactúa en línea. Con quién se conecta, qué tipo de tráfico, dónde se encuentra geográficamente. No bueno

Obscurecer su tráfico con una VPN

Si usa una VPN, su ISP sabe que se ha conectado a una VPN, pero no puede inspeccionar el contenido de su tráfico y no sabe de dónde sale en el otro extremo.

Además, a pesar del reciente aumento en la popularidad de las VPN, estas herramientas han estado en uso para las empresas durante mucho tiempo. Por lo general, se utilizan para acceder a recursos de forma remota como si estuviera en la oficina.

En algunos casos, incluso hemos visto aumentos de rendimiento mediante el uso de una VPN, donde el estrangulamiento artificial se evita mediante el uso de una VPN. Debido a que está haciendo un túnel en su conexión, su ISP no puede mirar su tráfico y estrangularlo , según el tipo de tráfico. Lo creas o no, este es un problema real, y algunos ISP reducen el tráfico de los usuarios cuando ven el intercambio de archivos, por ejemplo .

Recomendaciones del consumidor

Hay varios caminos que puede tomar al decidir implementar una VPN. Estas herramientas no solo funcionan en sus dispositivos personales, como sus computadoras portátiles y teléfonos móviles, sino que, en algunos casos, puede insertar su propio enrutador en la mezcla.

En muchos casos, el enrutador proporcionado por su ISP no es un dispositivo que usted controle por completo, y usarlo para sus necesidades de red puede abrirlo a posibles problemas de seguridad.

Estos dispositivos a veces tienen funciones administrativas que no son accesibles para los suscriptores. Algunos enrutadores de rango medio a superior ofrecidos en el mercado hoy en día le permiten colocar la VPN en el enrutador, encapsulando efectivamente todo su tráfico.

La ruta del hardware

Una posible solución sería obtener un enrutador de este tipo e instalar la VPN en él, en lugar de en sus máquinas individuales. Esto tiene la ventaja adicional de que proporciona protección VPN a dispositivos que no son compatibles con VPN, como dispositivos portátiles, consolas y dispositivos inteligentes.

En el pasado, hemos visto el hardware del ISP violado por cuentas codificadas en los módems / enrutadores que ofrecen a sus suscriptores.

Lamentablemente, la atención al cliente de ISP a menudo se resiste a ayudar si inserta su propio equipo en la mezcla. (De hecho, pueden hacer que lo elimine de la ecuación antes de que brinden soporte).

Esta solución es específica para cada enrutador y un poco más avanzada.

La ruta del software

También puede usar una aplicación VPN proporcionada por el proveedor de VPN. Esta aplicación proporcionará un túnel VPN a la computadora en la que está instalado, y solo eso, así que tenlo en cuenta.

Una de las opciones más sólidas a tener en cuenta para su solución de software es una funcionalidad de » interruptor de apagado «. Esto garantiza que si algo le sucede a la aplicación VPN, no se «abre por error» ni permite el tráfico de Internet si la VPN se rompe. Piénsalo. Está instalando esta aplicación por la funcionalidad explícita de que puede tunelizar su tráfico. Si la aplicación no funciona correctamente, es posible que existan riesgos de privacidad en la aplicación que aún le permitan conectarse a Internet, pero dejando que su tráfico se desvíe.

Más que nada, un interruptor de apagado evita la posibilidad de que esté operando con una falsa sensación de seguridad. Lo que usted dice en línea, y la posibilidad de que haya sido usted quien lo dijo, puede llamar la atención en algunos países con leyes mucho más estrictas sobre la libertad de expresión.

Otro factor que hace que una VPN realmente funcione es cuando tienen muchos nodos de salida. Estos nodos de salida son ubicaciones que se pueden usar para evitar la geolocalización. Cuantos más estén disponibles y mayor sea la variedad, más versátil y útil será el servicio VPN.

La velocidad también es un factor para los nodos de salida de VPN. No tiene mucho sentido tener un montón de nodos de salida a menos que sean rápidos. Una de las desventajas de usar una VPN es que al agregar todos estos «saltos» entre nodos, su tráfico tardará más en enrutarse. Si los nodos son razonablemente rápidos, el usuario final no debería notar desaceleraciones significativas.

Debe tener un proveedor de VPN que no discrimine el tipo de tráfico que fluye a través de su red. Algunas VPN más pequeñas no tienen la infraestructura necesaria para manejar grandes volúmenes de tráfico peer-to-peer o bittorrent , y lo prohíben directamente o tienen límites de datos reales.

Pensamientos finales

Recuerde, cuando usted está pensando en adoptar una de estas herramientas, se debe transferir la confianza: Cuando se utiliza una VPN permite transferir el acceso a su tráfico a un 3 rd partido, el proveedor de VPN. Toda esa visibilidad que los usuarios se resisten a renunciar a su ISP ahora se ha entregado a su proveedor de VPN. Se debe considerar cuidadosamente la confiabilidad de dicho proveedor de VPN.

Hay casos documentados en los que un proveedor de VPN reveló que sus usuarios podrían ser anonimizados y que el proveedor de VPN, de hecho, mantuvo registros y estaba dispuesto a entregarlos .

Recuerde, las VPN no deben verse como herramientas oscuras. Son, en realidad, herramientas comerciales y de privacidad. Permitieron que los investigadores que luchan contra el malware descubrieran qué hace realmente ese malware. Permiten que los empleados se conecten a los recursos de la empresa fuera de la oficina, lo cual es de suma importancia hoy en día. Y le permiten a usted, el usuario, reclamar una medida de privacidad.

Por lo tanto, es importante elegir con cuidado. La mayoría de las VPN ofrecen un servicio donde prometen no registrar ni inspeccionar su tráfico. Sin embargo, en muchos casos, esta afirmación es imposible de verificar.

¿La mejor opción para VPN, entonces? Lea reseñas, recorra foros y busque las funcionalidades que son importantes, específicamente para usted.

Pormalwarebytes

Honda y Enel afectados por un ciberataque sospechoso de ser ransomware

Honda y Enel afectados por un ciberataque sospechoso de ser ransomware

Honda y Enel afectados por un ciberataque sospechoso de ser ransomware

Al corriente: por el 

El fabricante de automóviles Honda ha sido golpeado por un ciberataque, según un informe publicado por la BBC, y luego confirmado por la compañía en un tweet . Otro ataque similar, también divulgado en Twitter , golpeó a Edesur SA, una de las compañías pertenecientes a Enel Argentina que opera en el negocio de distribución de energía en la Ciudad de Buenos Aires.

Según los ejemplos publicados en línea, estos incidentes pueden estar relacionados con la familia de ransomware EKANS / SNAKE. En esta publicación de blog, revisamos lo que se sabe sobre esta variedad de ransomware y lo que hemos podido analizar hasta ahora.

Ransomware dirigido con gusto por ICS

Las primeras menciones públicas del ransomware EKANS se remontan a enero de 2020, con el investigador de seguridad Vitali Kremez compartiendo información sobre un nuevo ransomware dirigido escrito en GOLANG.

El grupo parece tener un interés especial por los Sistemas de Control Industrial (ICS), como se detalla en esta publicación de blog de la firma de seguridad Dragos.

Figura 1: Nota de rescate de EKANS

El 8 de junio, un investigador compartió muestras de ransomware que supuestamente estaba dirigido a Honda y ENEL INT. Cuando comenzamos a mirar el código, encontramos varios artefactos que corroboran esta posibilidad.

Figura 2: Verificación de Mutex

Cuando el malware se ejecuta, intentará resolver a un nombre de host codificado (mds.honda.com). Si, y solo si lo hace, comenzará el cifrado del archivo. La misma lógica, con un nombre de host específico, también se aplicaba al ransomware presuntamente vinculado a Enel.

Figura 3: Función responsable de realizar la consulta DNS

Objetivo: Honda

  • Resolviendo dominio interno: mds.honda.com
  • Correo electrónico de rescate: CarrolBidell @ tutanota [.] Com

Objetivo: Enel

  • Resolviendo dominio interno: enelint.global
  • Correo electrónico de rescate: CarrolBidell @ tutanota [.] Com

RDP como un posible vector de ataque

Ambas compañías tenían algunas máquinas con acceso de Protocolo de escritorio remoto (RDP) expuesto públicamente (referencia aquí ). Los ataques RDP son uno de los principales puntos de entrada cuando se trata de operaciones de ransomware específicas.

  • RDP expuesto: /AGL632956.jpn.mds.honda.com
  • RDP expuesto: /IT000001429258.enelint.global

Sin embargo, no podemos decir de manera concluyente que así es como los actores de la amenaza pueden haber entrado. En última instancia, solo una investigación interna adecuada podrá determinar exactamente cómo los atacantes pudieron comprometer las redes afectadas.

Detección

Probamos las muestras de ransomware disponibles públicamente en nuestro laboratorio al crear un servidor interno falso que respondería a la consulta DNS realizada por el código de malware con la misma dirección IP que esperaba. Luego, analizamos la muestra presuntamente vinculada a Honda contra Malwarebytes Nebula , nuestra protección de punto final basada en la nube para empresas.

Figura 4: Panel de Nebula de Malwarebytes que muestra detecciones

Detectamos esta carga útil como ‘Ransom.Ekans’ cuando intenta ejecutarse. Para probar otra de nuestras capas de protección, también deshabilitamos (no recomendado) la protección contra malware para permitir que el motor de comportamiento haga lo suyo. Nuestra tecnología anti-ransomware pudo poner en cuarentena el archivo malicioso sin el uso de ninguna firma.

Las pandillas de ransomware no han mostrado piedad, incluso en este período de lidiar con una pandemia. Continúan apuntando a grandes empresas para extorsionar grandes sumas de dinero.

RDP ha sido señalado como una de las frutas colgantes más bajas preferidas por los atacantes. Sin embargo, también aprendimos recientemente sobre una nueva vulnerabilidad de SMB que permite la ejecución remota. Es importante que los defensores mapeen correctamente todos los activos, los apliquen y nunca permitan que sean expuestos públicamente.

Actualizaremos esta publicación de blog si encontramos nueva información relevante.

Indicadores de compromiso (COI)

Muestra relacionada con Honda:

d4da69e424241c291c173c8b3756639c654432706e7def5025a649730868c4a1
mds.honda.com

Muestra relacionada con Enel:

edef8b955468236c6323e9019abb10c324c27b4f5667bc3f85f3a097b2e5159a 
enelint.global
Pormalwarebytes

Bloqueo y código S1Ep8: Trabajando de forma segura desde casa 

Bloqueo y código S1Ep8: Trabajando de forma segura desde casa (FMH) con John Donovan y Adam Kujawa

Bloqueo y código S1Ep8: Trabajando de forma segura desde casa 

Al corriente: por 

Esta semana en Lock and Code, discutimos los principales titulares de seguridad generados aquí en Labs y en Internet. Además, hablamos con John Donovan, jefe de seguridad de Malwarebytes, y Adam Kujawa, director de Malwarebtyes Labs, sobre trabajar de forma segura desde su hogar (FMH).

Con las órdenes de refugio en el lugar ahora en pleno efecto para evitar la propagación del coronavirus, innumerables empresas se encuentran este año en situaciones obligatorias de trabajo desde el hogar. En el episodio de hoy, vamos más allá de solo hablar de amenazas. Tenemos un dialogo.

Primero, qué tipos de malware y métodos de ataque estamos viendo, y luego, cómo ha respondido Malwarebytes. Queremos darle una mirada interna, porque a pesar de que somos una empresa de ciberseguridad, mantener la seguridad cibernética va más allá de la detección de malware. Llega a educar a sus empleados e implementar políticas adecuadas para proteger su empresa.

Sintonice todo esto y más en el último episodio de Lock and Code, con el presentador David Ruiz.

También puede encontrarnos en la  tienda iTunes de Apple , en  Google Play Music , más cualquier plataforma de podcast preferida que utilice.

Cubrimos nuestra propia investigación sobre:

Además de otras noticias de ciberseguridad:

  • El cazarrecompensas de insectos obtiene un premio de $ 100,000 por el error de día cero en el sistema ‘ Iniciar sesión con Apple ‘. (Fuente: TechSpot)
  • 100,000 bandejas de entrada de la empresa golpeadas con phishing de mensajes de voz . (Fuente: Bleeping Computer)
  • El 80% de las organizaciones sufrieron al menos una violación de datos en la nube en los últimos 18 meses. (Fuente: Ciso Mag)
  • Mongolia arresta a 800 ciudadanos chinos en una investigación de delitos cibernéticos. (Fuente: Reuters)
  • Minnesota utilizó el rastreo de contactos para rastrear a los manifestantes, lo que creó un problema de confianza para los trabajadores médicos en la pandemia. (Fuentes: BGR y Cnet)
Pormalwarebytes

Las campañas de coronavirus conducen a un aumento de las amenazas de malware, según el informe de Malwarebytes

Las campañas de coronavirus conducen a un aumento de las amenazas de malware, según el informe de Labs

Las campañas de coronavirus conducen a un aumento de las amenazas de malware, según el informe de Malwarebytes

Al corriente: por 
Última actualización:

En los primeros tres meses de 2020, cuando el mundo se limitó a limitar el coronavirus, las amenazas cibernéticas aumentaron.

Nuestra última edición especial para nuestro informe trimestral CTNT se centra en las recientes y crecientes amenazas de malware que tienen una gran cosa en común: utilizar el coronavirus como señuelo. Nuestro informe, » Tácticas y técnicas de cibercrimen: ataque a la base de operaciones «, analiza los troyanos, ladrones de información y botnets que los actores de amenazas enviaron a cada vez más hogares de enero a marzo de este año.

Sin embargo, nuestro informe analiza más que el volumen de ataque. También captura los modelos reales que los actores de amenazas usaron para tratar de engañar a las víctimas desprevenidas. Desde un correo electrónico que pretende venir de UNICEF, hasta otro que dice contener información sobre el uso adecuado de la máscara facial, hasta un mapa fraudulento muy discutido que se presenta como un rastreador de casos de coronavirus legítimo y global de la Universidad John Hopkins: todo está aquí en nuestro último informe .

Los investigadores de Malwarebytes han seguido estos métodos de ataque durante meses.

Encontramos un correo electrónico fraudulento que aprovechaba el deseo de las personas de ofrecer apoyo durante la pandemia. Nosotros investigamos la actividad de un agente paquistaní informó amenaza patrocinada por el estado difusión de un troyano de acceso remoto a través de una campaña de spearphishing coronavirus de temática. Descubrimos innumerables correos electrónicos de suplantación de identidad y lanzamientos de aceite de serpiente que ocultan una variedad de keyloggers, ransomware y ladrones de datos.

En el informe de hoy, ahora tenemos los datos para mostrar qué amenazas de malware, específicamente, aumentaron en los primeros tres meses de 2020.

Conclusiones clave: ataque a la base de operaciones

  • Los ciberdelincuentes hicieron una transición rápida para entregar malware de años de antigüedad con nuevas campañas que aprovechaban la confusión, el miedo y la incertidumbre en torno a la pandemia mundial de coronavirus.
  • Malwarebytes descubrió que el malware de puerta trasera NetWiredRC , que se mantuvo bajo durante aproximadamente cinco meses en 2019, aumentó drásticamente su actividad a principios de 2020, con un aumento de detección de al menos 200 por ciento en marzo en comparación con diciembre pasado.
  • El período de tiempo entre enero y febrero fue, para varios de los tipos de malware analizados, un precursor de una actividad de detección aún mayor e incrementada entre febrero y marzo.
  • Malwarebytes registró mayores detecciones de casi el 110 por ciento entre febrero y marzo para el malware AveMaria , un peligroso troyano de acceso remoto que puede proporcionar acceso de escritorio remoto y control remoto de cámara web, con la capacidad adicional de robar contraseñas.
  • Malwarebytes registró mayores detecciones de más del 160 por ciento entre febrero y marzo para el malware DanaBot , un invasor de troyanos y ladrón de información que puede deslizar las credenciales de las cuentas bancarias en línea.
  • Las campañas de phishing parecen ser el método de ataque más popular, pero los ciberdelincuentes también se han vuelto creativos con sitios web fraudulentos que ocultan malware.
  • Un aumento del 26 por ciento en la actividad de descremado de tarjetas de crédito en marzo pone a los compradores domésticos en mayor riesgo

Para obtener más información sobre los métodos de ataque y los tipos de malware dirigidos a las personas hoy en día, y para encontrar recomendaciones sobre cómo proteger su base de operaciones y la de sus empleados remotos, lea el informe completo:

Tácticas y técnicas de cibercrimen: ataque a la base

Pormalwarebytes

MAZE: el ransomware que introdujo un giro extra

Laberinto: el ransomware que introdujo un giro extra

MAZE: el ransomware que introdujo un giro extra

Al corriente: por 
Última actualización:

Los desarrolladores del ransomware Maze han introducido una forma adicional de crear influencia contra las víctimas del ransomware . Si la víctima no está convencida de que debe pagar a los delincuentes porque sus archivos están encriptados, podría haber un método adicional de extorsión. Con el tiempo, más organizaciones han encontrado formas de mantener copias seguras de sus archivos importantes o utilizar algún tipo de tecnología de reversión para restaurar sus sistemas al estado en que se encontraban antes del ataque.

Para tener cierta influencia sobre estas organizaciones, los atacantes de ransomware roban datos del sistema infiltrado mientras implementan su ransomware. Luego amenazan con publicar los datos si la víctima decide no pagar. Dependiendo del tipo de datos, esta puede ser una razón bastante convincente para ceder.

Laberinto presenta datos filtrados

En el último trimestre de 2019, los desarrolladores de Maze introdujeron este nuevo método de extorsión. Y, como si el ransomware solo no fuera lo suficientemente malo, desde la introducción de esta metodología, muchos otros vendedores de ransomware han comenzado a adoptarlo. Las familias de ransomware más conocidas además de Maze que utilizan la filtración de datos como guarnición para ransomware son Clop, Sodinokibi y DoppelPaymer.

El dudoso honor de ser notada como la primera víctima fue para Allied Universal, una firma de servicios de seguridad con sede en California. Allied Universal vio que se arrojaron 700 MB de datos robados después de que se negaron a satisfacer la demanda de rescate establecida por Maze. Hoy en día, la mayoría de las pandillas de ransomware involucradas en este ataque de doble función tienen sitios web dedicados donde amenazan con publicar los datos robados de las víctimas que son reacias a pagar.

Sitio web de Maze
Sitio web donde los operadores de Maze publican los datos extraídos de sus «clientes».

Características del ransomware Maze

El ransomware Maze se desarrolló como una variante del ransomware ChaCha y fue descubierto inicialmente por el Director de Inteligencia de Amenazas Jérôme Segura de Malwarebytes en mayo de 2019. Desde diciembre de 2019, la pandilla ha estado muy activa haciendo muchas víctimas de alto perfil en casi todas las verticales: finanzas, tecnología, telecomunicaciones, atención médica, gobierno, construcción, hotelería, medios y comunicaciones, servicios públicos y energía, farmacia y ciencias de la vida, educación, seguros, venta al por mayor y legal.

Las principales formas de distribución de Maze son:

  • campañas de malspam que utilizan archivos adjuntos armados, principalmente archivos de Word y Excel
  • RDP ataques de fuerza bruta

Inicialmente, Maze se distribuyó a través de sitios web utilizando un kit de exploits como Fallout EK y Spelevo EK , que se ha visto utilizando vulnerabilidades de Flash Player. El ransomware Maze también ha utilizado exploits contra Pulse VPN , así como la vulnerabilidad de ejecución remota de código del motor VBScript de Windows para ingresar a una red.

Independientemente del método utilizado para establecerse en la red, el siguiente paso para los operadores de Maze es obtener privilegios elevados, realizar movimientos laterales y comenzar a implementar el cifrado de archivos en todas las unidades. Sin embargo, antes de cifrar los datos, se sabe que estos operadores extraen los archivos que encuentran. Estos archivos se utilizarán como un medio para obtener un apalancamiento adicional, amenazando con la exposición pública.

MAZE usa dos algoritmos para encriptar los archivos, ChaCha20 y RSA . Después del cifrado, el programa agrega una cadena de caracteres aleatorios de 4 a 7 al final de cada archivo. Cuando el malware ha terminado de encriptar todos los archivos de destino, cambia el fondo de escritorio a esta imagen:

Además, se reproduce un mensaje de voz para el usuario del sistema afectado, alertándolo del cifrado.

COI para ransomware Maze

Maze crea un archivo llamado DECRYPT-FILES.txt en cada carpeta que contiene archivos cifrados. Se salta algunas carpetas entre las que se encuentran:
•% windir%
•% programdata%
• Archivos de programa
•% appdata% \ local

También omite todos los archivos de los siguientes tipos:
• dll
• exe
• lnk
• sys

Esta nota de rescate llamada DECRYPT-FILES.txt contiene instrucciones para la víctima:

La nota de rescate explicando el ataque y cómo contactar a los ciberdelincuentes para obtener los archivos descifrados.

Luego prometen que:

Después del pago, los datos se eliminarán de nuestros discos y se le dará un desencriptador, para que pueda restaurar todos sus archivos.

SHA 256 hashes:

19aaa6c900a5642941d4ebc309433e783befa4cccd1a5af8c86f6e257bf0a72e 

6878f7bd90434ac5a76ac2208a5198ce1a60ae20e8505fc110icsofte42b3657d13

9ad15385f04a6d8dd58b4390e32d876070e339eee6b8da586852d7467514d1b1

b950db9229db2f37a7eb5368308de3aafcea0fd217c614daedb7f334292d801e

Proteccion

Malwarebytes protege a los usuarios con una combinación de diferentes capas, incluida una que detiene el ataque desde el principio y es completamente sin firma.

Además de usar Malwarebytes, también recomendamos:

  • Denegar el acceso a IP públicas a puertos importantes (puerto RDP 3389).
  • Permita el acceso a solo las IP que están bajo su control.
  • Junto con el bloqueo del puerto RDP, también sugerimos bloquear el puerto SMB 445. En general, se recomienda bloquear los puertos no utilizados.
  • Aplique los últimos paquetes de actualización de Microsoft y mantenga su sistema operativo y antivirus totalmente actualizados.

Pagos

Si bien nuestro consejo, como siempre, es no pagar a los delincuentes, ya que usted mantiene vivo su modelo de negocio al hacerlo, entendemos que la falta de archivos cruciales puede ser una razón de peso para pagarlos de todos modos. Y con el nuevo giro de la publicación de datos exfiltrados que presentaron los operadores de Maze, hay una razón adicional a la mano. Lanzar datos confidenciales en línea ha demostrado ser una persuasión adicional efectiva, ya que muchas organizaciones no pueden permitirse tenerlos a disposición del público.