21 ene 2022

Investigadores exploran VirusTotal para encontrar credenciales robadas (y mucho más)

Investigadores de SafeBreach utilizar VirusTotal para recopilar grandes cantidades de credenciales sin infectar a una organización ni comprarlas en línea. Los investigadores encontraron un método para recopilar grandes cantidades de credenciales de usuario robadas mediante el uso de APIs y la ejecución de búsquedas en VirusTotal, el servicio en línea utilizado para analizar archivos y URL sospechosos.

El proceso de los investigadores para usar cada una de estas herramientas se detalla en un informe de sus hallazgos: El cibercrimen "perfecto".

CUIDADO con lo que lees: NO se hackeo (ni nada por el estilo) VirusTotal.

Con una licencia de VirusTotal de 600 € (alrededor de 679 dólares) y algunas herramientas, el equipo de investigación de SafeBreach recopiló más de un millón de credenciales utilizando esta técnica. El objetivo era identificar los datos que un delincuente podría recopilar con una licencia de VirusTotal, que es propiedad de Google y brinda un servicio gratuito que se puede usar para cargar y verificar archivos y enlaces sospechosos utilizando varios motores antivirus.

Un usuario con licencia en VirusTotal puede consultar el conjunto de datos del servicio con una combinación de consultas por tipo y nombre de archivo, datos enviados, país y contenido del archivo, entre otros. El equipo de SafeBreach creó la idea del "VirusTotal Hacking" basado en el método de "Google Hacking", que los delincuentes (e investigadores) usan para buscar sitios web vulnerables, dispositivos de Internet de las cosas, shells web y fugas de datos confidenciales.

Muchos ladrones de información recopilan credenciales de diferentes foros, cuentas de correo, navegadores y otras fuentes, y las escriben en un nombre de archivo fijo y codificado, por ejemplo, "all_credentials.txt", luego extraen este archivo del dispositivo de la víctima y lo suben a su servidor de C&C. Usando este método, los investigadores tomaron herramientas y API de VirusTotal, como búsqueda, VirusTotal Graph y Retrohunt, y las usaron para encontrar archivos que contenían datos robados.

"Es una técnica bastante sencilla, que no requiere una gran comprensión del malware", dice Tomer Bar, director de investigación de seguridad de SafeBreach. "Todo lo que necesita es elegir uno de los ladrones de información más comunes y leer sobre él en línea".

Los investigadores realizaron su investigación utilizando malware conocido, incluidos RedLine Stealer, Azorult, Raccoon Stealer y Hawkeye, así como foros conocidos como DrDark y Snatch_Cloud para robar datos confidenciales. Descubrieron que su método funciona a escala.

RedLine Stealer es una forma de malware que se vende en foros clandestinos a través de una compra o suscripción independiente. Utiliza navegadores para recopilar datos como credenciales guardadas, datos de autocompletado y detalles de tarjetas de crédito. Cuando se ejecuta en una máquina de destino, el malware realiza un inventario del sistema que incluye información como el nombre de usuario, los datos de ubicación, la configuración del hardware y los detalles del software de seguridad. RedLine Stealer puede cargar y descargar archivos y ejecutar comandos.

Para empezar, los investigadores utilizaron VirusTotal Query para buscar archivos binarios identificados por al menos un motor antivirus como RedLine, que arrojó 800 resultados. También buscaron archivos llamados DomainDetects.txt, que es uno de los nombres de archivo que extrae el malware. Esto devolvió cientos de archivos exfiltrados.

Luego recurrieron a VirusTotal Graph, que permite a los usuarios con licencia de VirusTotal explorar visualmente el conjunto de datos. Allí, los investigadores encontraron un archivo de sus resultados de búsqueda que también se incluyó en un archivo RAR que contenía datos extraídos pertenecientes a 500 víctimas, incluidas 22.715 contraseñas de muchos sitios web diferentes. Los resultados adicionales incluyeron archivos aún más grandes, que contenían más contraseñas. Algunas eran para direcciones URL relacionadas con el gobierno, anotaron los investigadores.

Si bien hay muchos ladrones de información para elegir, los investigadores eligieron cinco de uso común debido a sus mayores probabilidades de encontrar archivos extraídos por ellos en el conjunto de datos de VirusTotal.

El equipo de SafeBreach aprendió y mejoró sus consultas mientras exploraba VirusTotal, dice Bar. Por ejemplo, encontraron que algunos atacantes comprimen los datos de las víctimas en un archivo grande. VirusTotal ofrece una forma de buscar archivos comprimidos que contengan nombres de archivo fijos y codificados, por lo que cuando encontraron un solo archivo, también encontraron datos robados pertenecientes a cientos de víctimas, explica.

"Un delincuente que usa este método puede recopilar una cantidad casi ilimitada de credenciales y otros datos confidenciales del usuario con muy poco esfuerzo en un corto período de tiempo utilizando un enfoque libre de infecciones", escribieron los investigadores en su publicación de blog. "Lo llamamos el ciberdelito perfecto, no solo por el hecho de que no hay riesgo y el esfuerzo es muy bajo, sino también por la incapacidad de las víctimas para protegerse de este tipo de actividad".

Los investigadores se comunicaron con Google con sus hallazgos y solicitaron los archivos que contenían datos personales de VirusTotal. También recomendaron buscar y eliminar periódicamente archivos con datos confidenciales del usuario y prohibir las claves API que cargan esos archivos.

SafeBreach también aconsejó a Google que agregue un algoritmo que no permita la carga de archivos con datos confidenciales que contengan texto sin formato o archivos cifrados con la contraseña de descifrado adjunta, en texto o una imagen.

Fuente: DarkReading

20 ene 2022

Crypto.com comparte detalles sobre el robo de USD 33.8m en criptoactivos

Aproximadamente USD 33.8 millones en criptoactivos fueron robados de Crypto.com tras una violación de seguridad el lunes. La saga de la violación de seguridad de Crypto.com se aclara con un comunicado oficial del exchange de criptomonedas con sede en Singapur tras la suspensión de los retiros de fondos después de detectar "actividades sospechosas" en las cuentas de los usuarios.

En un comunicado del jueves, Crypto.com reveló que "4,836.26 ETH, 443.93 BTC y aproximadamente USD 66,200 en otras monedas" habían sido extraídos de las cuentas de los clientes sin autorización. La pérdida total está valorada actualmente en unos USD 33.8 millones, según los precios actuales del mercado.

Tras un incidente de seguridad, varios usuarios de Crypto.com comenzaron a denunciar el robo de su dinero. Sin embargo, las respuestas anteriores de la empresa no habían logrado calmar las preocupaciones.

Tras el incidente de seguridad del 17 de enero, compartimos nuestros hallazgos a continuación, junto con las mejoras que hemos realizado en nuestra infraestructura de seguridad y la introducción del Programa de Protección Mundial de Cuentas.

El lunes, cerca de las 12:46 am UTC, los sistemas de monitorización de riesgos de Crypto.com detectaron "actividad no autorizada en un pequeño número de cuentas de usuarios" en las que se estaban autorizando transacciones sin que el usuario introdujera el control de autenticación de dos factores (2FA), según el documento oficial.

El exchange procedió a suspender los retiradas y a revocar todos los tokens 2FA de los clientes, añadiendo medidas de seguridad más estrictas que requerían que todo el mundo volviera a iniciar sesión y a reactivara su token 2FA antes de permitir únicamente realizar acciones autorizadas, como se detalla en el comunicado. La infraestructura de retiro de fondos estuvo inactiva durante un total de 14 horas.

Para evitar que un accidente de este tipo vuelva a suceder, Crypto.com afirma haber implementado una capa adicional de protección en la que se debe registrar una nueva dirección de retiro en la lista blanca en un plazo de 24 horas antes del primer retiro.

"Los usuarios recibirán notificaciones de que se han añadido direcciones de retiro, para que tengan tiempo suficiente de reaccionar y responder", dice el comunicado.

El miércoles, Kris Marszalek, CEO de Crypto.com, dijo a Bloomberg que el exchange no ha recibido ninguna comunicación de los reguladores sobre el evento. 

Según PeckShield, se han robado más de USD 15 millones en Ether (ETH). El lunes, la firma de seguridad blockchain tuiteó que aproximadamente la mitad de los fondos habían sido enviados a Tornado Cash "para ser lavados". Otro analista de la firma de datos blockchain OXT Research declaró que el golpe puede haber costado al exchange USD 33 millones en activos robados.

Fuente: CoinTelegraph

Nueva vulnerabilidad en SolarWinds es utilizada para aprovechar fallas de Log4j

Microsoft reveló el miércoles detalles de una nueva vulnerabilidad de seguridad en el software SolarWinds Serv-U que, según dijo, estaba siendo armado por actores de amenazas para propagar ataques que aprovechaban las fallas de Log4j para comprometer objetivos.

Rastreado como CVE-2021-35247 (puntaje CVSS: 5.3), el problema es una "vulnerabilidad de validación de entrada que podría permitir a los atacantes crear y enviar una consulta a través de la red", dijo Microsoft Threat Intelligence Center (MSTIC).

La falla, que fue descubierta por el investigador de seguridad Jonathan Bar Or, afecta a las versiones 15.2.5 y anteriores de Serv-U, y se solucionó en la versión 15.3 de Serv-U.

"La pantalla de inicio de sesión web de Serv-U para la autenticación LDAP permitía caracteres que no estaban lo suficientemente sanitizados", dijo SolarWinds en un aviso, y agregó que "actualizó el mecanismo de entrada para realizar una validación y limpieza adicionales".

El fabricante de software de administración de TI también señaló que "no se ha detectado ningún efecto descendente ya que los servidores LDAP ignoran los caracteres incorrectos". No está claro de inmediato si los ataques detectados por Microsoft fueron meros intentos de explotar la falla o si finalmente tuvieron éxito.

El desarrollo se produce cuando varios actores de amenazas continúan aprovechándose de las fallas de Log4Shell para escanear en masa e infiltrarse en redes vulnerables para implementar puertas traseras, mineros de monedas, ransomware y shells remotos que otorgan acceso persistente para una mayor actividad posterior a la explotación.

Los investigadores de Akamai, en un análisis publicado esta semana, también encontraron evidencia del abuso de las fallas para infectar y ayudar en la proliferación de malware utilizado por la botnet Mirai.

Además de esto, se observó previamente que un grupo de delincuentes informáticos con sede en China explota otra vulnerabilidad de seguridad crítica que afecta a SolarWinds Serv-U (CVE-2021-35211) para instalar programas maliciosos en las máquinas infectadas.

Fuente: THN

19 ene 2022

Guía de medidas de ciberseguridad para protegerse contra amenazas críticas (CISA)

Todas las organizaciones están en riesgo de amenazas cibernéticas que pueden interrumpir los servicios esenciales y potencialmente tener como resultado impactos en la seguridad pública. Durante el año pasado, los incidentes cibernéticos afectaron a muchas empresas, organizaciones sin fines de lucro y otras organizaciones, grandes y pequeñas, en múltiples sectores de la economía.

Más recientemente, las entidades públicas y privadas en Ucrania han sufrido una serie de incidentes cibernéticos maliciosos, incluidos ataques a sus sitios web del sector privado con malware potencialmente destructivo en sus sistemas que podría provocar daños graves a funciones críticas.

CISA ha publicado esta guía con el objetivo garantizar que los líderes de cada organización sean conscientes de los riesgos cibernéticos críticos y tomen medidas urgentes a corto plazo para reducir la probabilidad y el impacto de un compromiso potencialmente dañino. Todas las organizaciones, independientemente de su sector o tamaño, deben implementar de inmediato los pasos que se describen a continuación.

Reducir la probabilidad de una intrusión dañina

  • Validar que todo acceso remoto a la red de la organización y acceso privilegiado o administrativo requiera autenticación multifactor.
  • Asegurar que el software esté actualizado, dando prioridad a las actualizaciones que aborden las vulnerabilidades explotadas conocidas e identificadas por CISA.
  • Confirmar que el personal de TI de la organización ha deshabilitado todos los puertos y protocolos que no son esenciales para fines comerciales.
  • Si la organización utiliza servicios en la nube, asegurar que el personal de TI haya revisado e implementado controles estrictos descritos en la guía de CISA.
  • Realizar análisis de vulnerabilidades, para ayudar a reducir la exposición a las amenazas.

Medidas para detectar rápidamente una posible intrusión

  • Asegurar que el personal de ciberseguridad/TI se concentre en identificar y evaluar rápidamente cualquier comportamiento de red inesperado o inusual.
  • Habilitar los registro para investigar mejor los problemas o eventos.
  • Confirmar que toda la red de la organización esté protegida por software antivirus/antimalware y que las firmas en estas herramientas estén actualizadas.
  • Si trabaja con organizaciones ucranianas, tener especial cuidado de monitorear, inspeccionar y aislar el tráfico de esas organizaciones; revisar de cerca los controles de acceso para ese tráfico

Asegurar que la organización esté preparada para responder

  • Designar un equipo de respuesta a crisis con los principales puntos de contacto para un supuesto incidente de seguridad cibernética y roles/responsabilidades dentro de la organización, incluida las áreas de tecnología, comunicaciones, legal y continuidad comercial.
  • Asegurar la disponibilidad del personal clave; identificar los medios para proporcionar apoyo de emergencia para responder a un incidente.
  • Realizar un ejercicio de simulación para garantizar que todos los participantes entiendan sus roles durante un incidente.

Maximizar la resiliencia de la organización ante un ciberincidente destructivo

  • Probar los procedimientos de respaldo para garantizar que los datos críticos se puedan restaurar rápidamente si la organización se ve afectada por ransomware o un ataque cibernético destructivo; asegúrese de que las copias de seguridad estén aisladas de las conexiones de red.
  • Si utiliza sistemas de control industrial o tecnología operativa, realice una prueba de controles manuales para asegurarse de que las funciones críticas permanezcan operativas si la red de la organización no está disponible o no es de confianza.

Al implementar los pasos anteriores, todas las organizaciones pueden avanzar a corto plazo hacia la mejora de la ciberseguridad y la resiliencia.

Fuente: CISA

18 ene 2022

Ataques a la cadena de suministros: La UE se pone a prueba

Los ataques a la cadena de suministros se han convertido en una de las amenazas más preocupantes. Y es que a diferencia de otros tipos de ataques, en los que está en nuestra mano el establecer todas las medidas de seguridad, en este caso nos podemos encontrar expuestos por las políticas de seguridad deficientes de terceras partes, que en gran medida escapan de nuestro control. Y el problema es que, en lo referido a IT, lo común es contar con un amplio conjunto de proveedores.

2021 empezó demostrándonos los riesgos de un ataque a la cadena de suministros con el caso de SolarWinds, cuyos ecos todavía resuenan, y desde entonces son muchas las miradas que se han posado en este tipo de ataques. ¿La buena noticia? Que se están adoptando una gran cantidad de medidas para prevenirlos. ¿La mala? Que vista la enorme efectividad y alcance de un ataque exitoso, el lado oscuro también se ha puesto manos a la obra para intentar explotarlo.

Gran parte de la respuesta a esta amenaza debe venir, claro, de las empresas responsables de los productos y servicios en los que cualquier problema puede comprometer la seguridad de sus clientes. Y también estos deben, en la medida de lo posible, auditar la seguridad de todas las herramientas que emplean. Al igual que todas las partes se pueden ver involucradas en un ataque a la cadena de suministros, todos eslabones de dicha cadena deben tomar cuantas medidas de seguridad estén a su alcance.

No obstante, las instituciones públicas también deben participar en estos procesos de securización. Primero, claro, porque nada evita que también puedan ser víctimas de un ataque a la cadena de suministros. Más bien al contrario, ya hemos visto que los ciberdelincuentes no tienen problema alguno en atacar a dichas entidades, y este tipo de ataques proporcionan una puerta trasera excelente para poder exfiltrar datos, llevar a cabo un ataque de ransomware, etcétera.

Pero es más, los ataques a la cadena de suministros forman parte activa del kit de herramientas del ciberespionaje y de la ciberguerra. Ya sea atacando a instituciones públicas o a empresas responsables de servicios esenciales se puede desde obtener información que comprometa la seguridad hasta comprometer el funcionamiento de servicios como el suministro eléctrico, de combustibles, provocar envenenamientos masivos modificando los sistemas de distribución de agua, etcétera.

Consciente de dichos riesgos, y como podemos leer en Bloomberg, los estados de la Unión Europea han puesto en marcha esta semana un simulacro de ciberataque a gran escala contra varios estados miembros. Durante estos ejercicios se pondrán a prueba sus cadenas de suministros, valorando no solo la resistencia a los ataques, sino también la posible incidencia de los mismos en el plano socioeconómico y cómo articular una respuesta conjunta frente a estas posibles incidencias.

El ejercicio, que tendrá una duración de seis semanas, se estructurará en torno a una escalada gradual hacia una crisis mayor que culmine en un ataque que podría calificarse como una agresión armada según la Carta de las Naciones Unidas, según uno de los documentos a los que ha tenido acceso Bloomberg. Para ser lo más realista posible y preparar mejor al bloque para un ataque en el mundo real, se basará en incidentes que hayan tenido lugar o puedan tener lugar en un futuro próximo.

Además de poner a prueba la capacidad de las instituciones europeas frente a los ataques a la cadena de suministros, otro de los objetivos de este ejercicio es establecer los pilares para un marco común de colaboración entre los estados miembros, una carencia importante de la unión, dado el más que previsible incremento de las acciones en este sentido. Actualmente los estados cuentan con sus propios sistemas, pero establecer un entorno de colaboración entre los estados puede marcar una importante diferencia al respecto.

Fuente: Muy Seguridad

17 ene 2022

Herramientas Open Source para adoptar DevSecOps

En este artículo técnico Sumit (Sid) Siddarth, director de NotSoSecure, nos muestra que DevSecOps no cuesta una fortuna. Como explica, las empresas pueden hacer uso de las herramientas open-source libremente disponibles para mejorar su postura hacia la seguridad del software.

Actualmente, DevOps permite a las empresas desplegar cambios a entornos de producción a velocidades ultrarápidas. Hay muchas maneras de hacerlo, pero un proceso DevOps típico sería algo así:

  1. Un desarrollador escribe el código usando cualquier entorno de desarrollo de su elección y lo sube a un repositorio de código centralizado.
  2. El código se combina en el repositorio con el objetivo de versionarlo.
  3. Entonces, el servidor de CI/CD descarga el código del repositorio de código centralizado y paquetiza los artefactos/binarios construidos.
  4. Estos artefactos/binarios son entonces subidos a un repositorio de binarios.
  5. Estos artefactos/binarios son entonces descargados del repositorio para ser desplegados en los servidores de preproducción y producción, que son levantados utilizando docker.
  6. Se monitoriza la disponibilidad del servicio regularmente.

Si utilizamos las herramientas y entornos para ilustrar un proceso típico de DevOps, sería algo parecido a la imagen siguiente. Las herramientas variarán para cada empresa, pero el proceso representado aquí y en el resto del artículo sería más o menos el mismo. Una vez la aplicación está operando en un entorno de producción o preproducción, es habitual planificar un test de penetración. Imagina un escenario en el que una aplicación en producción está siendo testeada y se detecta una vulnerabilidad de alto riesgo, como una SQL injection. En ese caso, el equipo deberá volver a ejecutar todo el Pipeline DevOps entero para solucionar este problema. Algo que requiere mucho tiempo y, claramente, no es la mejor manera de resolver el problema.

Entonces, ¿qué pasa si acercamos un poco más la seguridad al ciclo de desarrollo incorporando un test de seguridad dentro del pipeline DevOps? Por ejemplo, con la ayuda de un escáner de código Open Source se habría detectado fácilmente la SQL Injection en una etapa temprana del desarrollo y se habría arreglado incluso antes de empaquetar el código:

Contenidos:

Fuente: NotSoSecure

Guía para la protección de sistemas de automatización y control industriales contra incidentes

La "Guide for protecting Industrial Automation Control Systems from cyber incidents", desarrollada por Vytautas (Vytas) Butrimas, proporciona un análisis de las amenazas basadas en la tecnología, tanto intencionales como no intencionales, para la seguridad, la confiabilidad, la resiliencia y el rendimiento de la infraestructura energética crítica y cómo se pueden abordar los riesgos cibernéticos para las tecnologías utilizadas para monitorear y controlar los procesos físicos en CEI.

El COE de ENSEC de la OTAN preparó esta guía en respuesta a las tendencias inquietantes en el ciberespacio, donde un amplio espectro de actores de amenazas han optado por apuntar a la energía crítica y otras infraestructuras que respaldan la actividad económica moderna, la seguridad nacional y el bienestar de la sociedad.

Fuente: Agustin V.

16 ene 2022

Actualizaciones de seguridad de varios fabricantes en enero

Microsoft lanzó el martes su primer conjunto de actualizaciones de 2022 para solucionar 96 agujeros de seguridad en su ecosistema, al tiempo que instó a los clientes a priorizar la aplicación de parches para lo que llama una vulnerabilidad crítica "wormable".

De las 96 vulnerabilidades, nueve están clasificadas como Críticas y 89 tienen una clasificación de gravedad Importante, con seis Zero-Days conocidos públicamente en el momento del lanzamiento. Esto se suma a los 29 problemas parcheados en Microsoft Edge el 6 de enero de 2022. Ninguno de los errores revelados aparece como utilizado actualmente.

Los parches cubren una parte de la cartera del gigante informático, incluidos Microsoft Windows y componentes de Windows, Exchange Server, Microsoft Office y componentes de Office, SharePoint Server, .NET Framework, Microsoft Dynamics, software de código abierto, Windows Hyper-V, Windows Defender, y Protocolo de escritorio remoto de Windows (RDP).

El principal de ellos es CVE-2022-21907 (puntuación CVSS: 9,8), una vulnerabilidad de ejecución remota de código en la pila de protocolo HTTP. "En la mayoría de las situaciones, un atacante no autenticado podría enviar un paquete especialmente diseñado a un servidor objetivo utilizando la pila de protocolo HTTP (http.sys) para procesar paquetes", señala Microsoft en su aviso.

Al investigador de seguridad ruso Mikhail Medvedev se le atribuye el descubrimiento y la notificación del error, y Microsoft destaca que es compatible con gusanos, lo que significa que no es necesaria la interacción del usuario para desencadenar y propagar la infección.

"Aunque Microsoft ha proporcionado un parche oficial, este CVE es otro recordatorio de que las características del software brindan oportunidades para que los atacantes hagan un mal uso de las funcionalidades para actos maliciosos", dijo Danny Kim, arquitecto principal de Virsec.

Microsoft también resolvió seis días cero como parte de su actualización Patch Tuesday, dos de los cuales son una integración de correcciones de terceros,   relacionadas con las bibliotecas de código abierto CURL y Libarchive.

  • CVE-2021-22947 (CVSS score: N/A) – Open-Source curl Remote Code Execution Vulnerability
  • CVE-2021-36976 (CVSS score: N/A) – Open-source libarchive Remote Code Execution Vulnerability
  • CVE-2022-21836 (CVSS score: 7.8) – Windows Certificate Spoofing Vulnerability
  • CVE-2022-21839 (CVSS score: 6.1) – Windows Event Tracing Discretionary Access Control List Denial of Service Vulnerability
  • CVE-2022-21874 (CVSS score: 7.8) – Windows Security Center API Remote Code Execution Vulnerability
  • CVE-2022-21919 (CVSS score: 7.0) – Windows User Profile Service Elevation of Privilege Vulnerability

Otra vulnerabilidad crítica importante se refiere a una falla de ejecución remota de código (CVE-2022-21849, puntaje CVSS: 9.8) en Windows Internet Key Exchange (IKE) versión 2, que según Microsoft podría ser armado por un atacante remoto para "activar múltiples vulnerabilidades sin estar autenticado".

Además de eso, el parche también corrige una serie de fallas de ejecución remota de código que afectan a Exchange Server, Microsoft Office (CVE-2022-21840), SharePoint Server, RDP (CVE-2022-21893) y Windows Resilient File System, así como vulnerabilidades de escalada de privilegios en Active Directory Domain Services, Windows Accounts Control, Windows Cleanup Manager y Windows Kerberos, entre otros.

A través de la explotación de la vulnerabilidad CVE-2022-21893 en RDP, atacantes internos podrían, por ejemplo, ver y modificar los datos del portapapeles de otras personas o hacerse pasar por otros usuarios registrados utilizando tarjetas inteligentes. La vulnerabilidad no fue demasiado publicitada por la multitud de actualizaciones de seguridad, pero es las más que digna de escrutinio. Además, es un problema generalizado y el error se remonta al menos a Windows Server 2012 R2, lo que llevó a la empresa a concluir que las últimas versiones de Windows, incluidas las ediciones de cliente y servidor, están afectadas. También es fácil de explotar y Microsoft dijo que una explotación de la vulnerabilidad sería de baja complejidad, lo que lleva a una calificación de criticidad de CVSS de 7.7 sobre 10.

Vale la pena enfatizar que CVE-2022-21907 y las tres deficiencias descubiertas en Exchange Server (CVE-2022-21846, CVE-2022-21855, y CVE-2022-21969, puntajes CVSS: 9.0) han sido etiquetados como de "explotación probable", lo que requiere que los parches se apliquen de inmediato para contrarrestar posibles ataques del mundo real dirigidos a las debilidades.

Parches de software de otros proveedores

Además de Microsoft, otros proveedores también han lanzado actualizaciones de seguridad para corregir varias vulnerabilidades, contando:

Fuente: THN

15 ene 2022

Desbaratan la banda del ransomware REvil y detienen a sus integrantes

El Servicio de Seguridad Federal de Rusia (FSB) anunció este viernes que detuvo a miembros de REvil y neutralizó la infraestructura delictiva asociada a sus delitos con ransomware. Como consecuencia de estas acciones, señala, "la comunidad criminal organizada ha dejado de existir".

Como explica el órgano federal ruso en su página web, las actividades de detención e incautaciones se efectuaron tras un pedido de Estados Unidos, pero fue el FSB quien, en cooperación con otros departamentos del Estado, logró establecer "la composición completa" de la banda.

Golpe a REvil y mensaje para otras bandas de ransomware

El operativo coordinado tuvo como objetivo 25 direcciones distribuidas en Moscú, San Petersburgo, Leningrado y Lipetsk, que estaban asociadas a 14 presuntos miembros de la banda de cibercriminales REvil.

Las autoridades dicen que incautaron más de 426 millones de rublos y 500.000 euros, así como 600.000 dólares en efectivo. También monederos de criptomonedas, ordenadores y 20 coches de alta gama "comprados con dinero obtenido del crimen".

El FSB no ha brindado los nombres ni la cantidad de individuos arrestados en el operativo, pero ha dicho que serán acusados de cometer delitos de "circulación ilegal de medios de pago" bajo la órbita del Código Penal de Rusia.

De momento se desconoce si los arrestados serán trasladados a Estados Unidos. No obstante, las autoridades rusas dicen que sus homólogos estadounidenses fueron informados sobre los resultados de la operación.

"Como resultado de las acciones conjuntas del FSB y el Ministerio del Interior de Rusia, la comunidad criminal organizada dejó de existir, se neutralizó la infraestructura de información utilizada con fines delictivos".

Una banda que ha ido cayendo por partes

Estados Unidos fue una de las víctimas más perjudicadas por las acciones de REvil. Los ciberdelincuentes atacaron parte de la infraestructura crítica del país apuntando a la empresa de oleoductos Colonial Pipeline.

Más tarde fue el turno de JBS, una multinacional de la industria de los alimentos, y de Kaseya, una compañía de software que brinda servicios a más de 40.000 clientes corporativos en todo el mundo.

No obstante, tras este último ataque, el FBI logró comprometer una copia de seguridad de REvil que no estaba aislada del sistema y, en una operación conjunta con varios países, en octubre de 2021 dejó al grupo sin la capacidad de seguir operando en ese momento.

Más tarde, en noviembre, en el marco de la Operación GoldDust, la Interpol arrestó a siete presuntos crackers, entre ellos el presunto responsable del ataque con ransomware a la tecnológica Kaseya, vinculado a REvil.

Ahora solo resta esperar para saber si realmente este es el fin de Revil como banda, ya que aún no está clara la jerarquía de los miembros detenidos por el FBS. Podrían ser líderes o integrantes de menor nivel.

Fuente: Xataka | Reuters

14 ene 2022

Estudio sobre eficacia de los EDR

Varios investigadores de la Universidad del Pireo en Atenas han testeado 18 EDRs (software de detección y respuesta de endpoints) diferentes y descubierto que muchos no detectan algunas de las técnicas de ataque más comunes utilizadas hoy en día por la mayoría de los actores actuales.

"Nuestros resultados indican que todavía hay mucho margen de mejora ya que los EDR de última generación no logran prevenir ni registrar la mayor parte de los ataques que se reportan en este estudio", dijeron George Karantzas y Constantinos Patsakis.

Su investigación, detallada en el paper 'An Empirical Assessment of Endpoint Detection and Response Systems against Advanced Persistent Threats Attack Vectors', puso a prueba a los principales EDR del último informe de Gartner de 2021 y básicamente consistía en la adquisición de un dominio categorizado como de 'finanzas', protegido con un certificado SSL de Let's Encrypt y que alojaba cuatro tipos de archivos que se utilizan comúnmente en los ataques, que abusarían de funciones legítimas para cargar y ejecutar un Beacon de Cobalt Strike.

1. Un archivo de acceso directo del panel de control de Windows (.cpl)

Creado con CPLResourceRunner (https://github.com/rvrsh3ll/CPLResourceRunner) y almacenando el shellcode con Archivos mapeados en memoria (MMF) y luego lanzándolo con delegates.

2. Un instalador legítimo de Microsoft Teams (que cargaba una DLL maliciosa)

Auto-inyectándose mediante DLL side-loading, lo que permite "vivir" bajo un binario firmado. Para lograrlo, utilizaron AQUARMOURY-Brownie (https://github.com/slaeryan/AQUARMOURY). El método de ejecución del shellcode es un CreateThread() clásico basado en una inyección local que lanzará el shellcode bajo un proceso de binario firmado y benigno.

3. Un archivo ejecutable portable (EXE) sin firmar

Este exe ejecutaba la inyección utilizando la técnica "Early Bird" de AQUARMOURY en werfault.exe. Esta técnica hace uso del mecanismo implementado en Windows para las llamadas asíncronas a procedimientos, también conocido como APC o Asynchronous Procedure Calls. El padre de explorer.exe es spoofeado utilizando la flag PROC THREAD ATTRIBUTE MITIGATION POLICY para proteger el malware de un evento DLL no firmado por Microsoft que es comúnmente utilizado por el EDR para la monitorización de los procesos.

4. Un archivo de aplicación HTML (HTA):

Una vez que el usuario visita una página HTML que contiene un IFrame, será redirigido y se le preguntará para ejecutar un archivo HTML con código VBS ejecutable que cargará el siguiente código .NET que realiza la autoinyección en el contexto de mshta.exe.

Usa C# y un gadget generado por Gadget2JScript (https://github.com/med0x2e/GadgetToJScript)

Resultados

La siguiente tabla muestra un resumen de los resultados.

Leyenda de la tabla de resultados (pág. 34 del informe):

✔: ataque exitoso, alerta media elevada.
⚫: ataque exitoso, alerta menor elevada.
★: ataque exitoso, se generó alerta.
🔘: ataque fallido, no se generó alerta.
✘: ataque fallido, se generaron alertas.
✞: en dos experimentos proporcionados por el proveedor, en el primero se detectó después de cinco horas, 
en el segundo se detectó después de 25 minutos
◉: La prueba inicial se bloqueó debido a la firma del archivo, 
el segundo tuvo éxito con otra aplicación.
⛛: el ataque fue detectado y bloqueado.
⊕: bloqueado por tipo de archivo (LOLBAS) pero la técnica funcionó.

De los 20 ataques que fueron lanzados, más de la mitad tuvieron éxito. Como se vé es bastante alarmante que ninguno de los EDR logró detectar todos los ataques. Concretamente:

  • 10 ataques fueron completamente exitosos, ya que se completaron y no generaron ninguna alerta;
  • 3 ataques tuvieron éxito, pero generaron una alerta de baja importancia;
  • 1 ataque no tuvo éxito, sin embargo, no emitió ninguna alerta, y;
  • 6 ataques fueron detectados y correctamente reportados por los EDR. 

Fuente: HackPlayers