Español 
English
Français
Deutsch
Italiano
Português
日本語
한국어
Русский
Amenazas de ciberseguridad que afectarán a las empresas en agosto de 2023
Las amenazas a la ciberseguridad están aumentando rápidamente. Como resultado, los líderes de las empresas deben ser más conscientes de las posibles deficiencias en su estrategia general de ciberseguridad. Las consultas de búsqueda de amenazas, que se ofrecen como parte de los servicios SOC de Marcum Technology, son clave para identificar amenazas potenciales en el entorno de una organización.
A continuación se detallan las cuatro principales amenazas que surgieron durante el último mes.
Los ataques de ransomware son un problema creciente para las organizaciones de todo el mundo, tanto en alcance como en gravedad. El equipo de respuesta a incidentes de Microsoft investigó los recientes ataques de ransomware BlackByte 2.0 y reveló la velocidad alarmante y la naturaleza destructiva de estos ataques cibernéticos. Los hallazgos indican que los piratas informáticos pueden ejecutar todo el proceso de ataque, desde obtener acceso inicial hasta causar daños importantes, en sólo cinco días. Se infiltran rápidamente en los sistemas, cifran datos cruciales y exigen un rescate por su liberación. Este cronograma condensado plantea un desafío importante para las organizaciones que se esfuerzan por defenderse de estas operaciones maliciosas.
El ransomware BlackByte se emplea en la etapa final del ataque, utilizando una clave numérica de 8 dígitos para cifrar los datos. Los atacantes utilizan una potente combinación de herramientas y técnicas, aprovechando servidores Microsoft Exchange sin parches para obtener acceso y sentar las bases para sus actividades maliciosas. El vaciado de procesos, las estrategias de evasión de antivirus, los shells web para acceso remoto y las balizas Cobalt Strike para operaciones de comando y control mejoran aún más sus capacidades, lo que dificulta que las organizaciones se defiendan contra ellos. Además, los ciberdelincuentes emplean herramientas de “vivienda de la tierra” para camuflar sus actividades y evitar ser detectados. Modifican instantáneas de volumen en máquinas infectadas para evitar la recuperación de datos a través de puntos de restauración del sistema e implementan puertas traseras personalizadas para un acceso persistente incluso después del compromiso inicial.
A medida que los ataques de ransomware se vuelven más frecuentes y sofisticados, los actores de amenazas pueden interrumpir rápidamente las operaciones comerciales si las organizaciones no están adecuadamente preparadas. La gravedad de estos ataques requiere una acción inmediata por parte de organizaciones de todo el mundo y, en respuesta a estos hallazgos, Microsoft ofrece recomendaciones prácticas. Fomenta la implementación de procedimientos sólidos de gestión de parches para aplicar actualizaciones de seguridad críticas de manera temprana. Habilitar la protección contra manipulaciones también es crucial, ya que fortalece las soluciones de seguridad contra intentos maliciosos de desactivarlas o eludirlas. Siguiendo las mejores prácticas, como mantener sistemas actualizados y restringir los privilegios administrativos, las organizaciones pueden mitigar significativamente el riesgo de ataques de ransomware BlackByte y otras amenazas similares.
En una campaña reciente, denominada "Nitrógeno", se vio cómo se aprovechaba la carga lateral de DLL para las comunicaciones C2. En lugar del vector habitual de phishing, el ataque comenzó con una descarga no autorizada desde un sitio web de WordPress comprometido. El archivo, una imagen ISO, contiene un archivo de instalación que el usuario final debe ejecutar manualmente. Luego, el instalador procede a cargar el archivo msi.dll y descifra el archivo de datos adjunto. Una distribución de Python integrada y la DLL se eliminan para descargarse en la ruta C:\Users\Public\Music\python del usuario.
Luego, el malware crea una tarea programada: “OneDrive Security Task-S-1-5-21-5678566754-9123742832-2638705499-2003”, que ejecuta pythonw.exe. Esto garantiza la persistencia del malware. La tarea se programa para activarse al iniciar el sistema y vence el 1 de diciembre de 2029, a medianoche.
Una vez establecida la persistencia, el malware puede realizar sus funciones. Se ha visto que emplea la descarga de DLL para mantener una conexión persistente con los servidores C2 y llega incluso a recuperar datos comprimidos/codificados y luego ejecutarlos localmente.
Cobalt Strike se observó como una carga útil elegida en un momento, y parece que también podrían implementarse otras. Este malware ciertamente tiene el potencial de causar un gran daño, pero en esta campaña el consuelo es que el usuario debe ejecutar manualmente un archivo descargado mediante una descarga no autorizada desde un sitio web comprometido. Sin embargo, esto siempre se puede realizar mediante phishing, que sigue siendo uno de los vectores más comunes debido a su facilidad y eficacia.
Los investigadores han descubierto que Lazarus, un grupo financiado a nivel nacional, está atacando servidores web del Servicio de información de Internet (IIS) de Windows y utilizándolos para difundir malware. El grupo es conocido por utilizar técnicas de abrevadero para obtener acceso inicial. Cuando un análisis detecta un servidor con una versión vulnerable, utiliza la vulnerabilidad adecuada para la versión para instalar un WebShell, descargar archivos o ejecutar comandos. El ataque identificado recientemente mostró que las cepas de malware del grupo de amenazas Lazarus fueron generadas por w3wp.exe, un proceso de servidor web IIS. El malware generado por el proceso w3wp.exe es usopriv.exe, un malware de JuicyPotato empaquetado con Themida.
Las cepas de malware Potato son responsables de la escalada de privilegios. Se aprovechan varios tipos, incluidos JuicyPotato, RottenPotato y SweetPotato, según el método de escalada de privilegios. Las cepas de la Papa aumentan los privilegios al abusar de procesos con ciertos privilegios activados. Posteriormente, el actor de la amenaza puede realizar acciones maliciosas utilizando el privilegio elevado. El comando whoami se utilizó para comprobar si se logró la escalada de privilegios. También se encontró un registro que muestra que se había ejecutado un cargador de malware responsable del comportamiento malicioso real. El cargador está en formato DLL, por lo que se utilizó rundll32 para ejecutarlo. El cargador descifra el nombre del archivo de los datos que se utilizarán y obtiene una cadena. Esta cadena es el nombre del archivo de datos que se busca en un total de tres rutas. Luego, el malware cargador descifra los archivos de datos cifrados y los ejecuta en el área de memoria.
También se ha visto al grupo Lazarus utilizando varios otros vectores de ataque para el acceso inicial, como vulnerabilidades de certificados conjuntos y ataques a la cadena de suministro 3CX. Este es uno de los grupos de amenazas más peligrosos que operan actualmente y es muy activo a nivel mundial. Utilizan continuamente ataques de vulnerabilidad para obtener acceso a sistemas sin parches. Si un sistema no tiene instalada la última versión de un producto vulnerable, entonces se debe aplicar la última actualización de inmediato.
En la última ronda de actualizaciones, Microsoft solucionó dos vulnerabilidades de día cero, a saber, CVE-2023-36884 y CVE-2023-38180. Estas vulnerabilidades han sido explotadas activamente por actores de amenazas y han provocado una acción rápida por parte de Microsoft. La actualización de este mes también cubre correcciones para otras 87 vulnerabilidades, lo que subraya la importancia de mantenerse alerta contra posibles amenazas cibernéticas.
CVE-2023-36884, una vulnerabilidad de ejecución remota de código, fue utilizada por el actor de amenazas ruso Storm-0978/RomCom. Esta falla permitió a los atacantes manipular inteligentemente documentos de Microsoft Office para evadir mecanismos de seguridad como la Marca de la Web (MoTW), permitiéndoles ejecutar código de forma remota. Microsoft respondió con una actualización de Office Defense in Depth para mitigar este riesgo. Storm-0978/RomCom, que anteriormente participó en la implementación del ransomware Industrial Spy, recientemente cambió su nombre a 'Underground' y amplió sus actividades para incluir la extorsión con ransomware.
Otra vulnerabilidad preocupante, CVE-2023-38180, también recibió atención en esta actualización. Aunque Microsoft no ha revelado detalles específicos sobre su explotación o la identidad del descubridor, se ha abusado activamente de esta vulnerabilidad y podría conducir a ataques de denegación de servicio distribuido (DDoS) en aplicaciones .NET y Visual Studio. En particular, esta falla no requiere que el atacante posea privilegios de usuario en el sistema objetivo, lo que la convierte en una preocupación más grave.
Los expertos en seguridad aconsejan a las organizaciones que tomen medidas rápidas implementando las medidas de seguridad recomendadas y aplicando los parches proporcionados. Estas actualizaciones sirven como recordatorio de las amenazas cibernéticas siempre presentes que requieren esfuerzos constantes para proteger los sistemas y los datos de posibles infracciones.
Si enfrenta desafíos relacionados con amenazas, infracciones y malos actores de ciberseguridad, o está interesado en obtener más información sobre cómo identificar amenazas potenciales para su organización, comuníquese con Marcum Technology hoy.