Informe realizado por investigadores de seguridad cibernética afirma que ciberdelincuentes están llevando a cabo una campaña masiva de Black Hat SEO que compromete a casi 15, 000 sitios webs.
Según los especialistas, la campaña se observó por primera vez en septiembre de 2022, cuando el equipo detectó un aumento de software malicioso en varios sitios que funcionan con el gestor de contenido WordPress. Sitios que se vieron comprometidos contienen casi 20,000 archivos. Estos, se estaban utilizando como parte de la campaña maliciosa, que estaban llevando a cabo los actores de amenazas, y la mayoría de los sitios eran WordPress.
Este ataque funciona cuando los ciberdelincuentes modifican los archivos de WordPress, para inyectar redireccionamientos a foros de discusión de preguntas y respuestas apócrifos.
Los archivos infectados o modificados contienen un código malicioso que verifica si los visitantes del sitio web están conectados a WordPress y, si no lo están, los redirige a la URL https://ois.is/images/logo-6.png , El usuario no verá una imagen, sino que al hacer clic se activa un código informático que lo redirige a un sitio promocionado.
Recomendación contra el Black Hat SEO
La solución Palo Alto Networks que está disponible en el portafolio de Nova, Con Advance URL Filtering de Palo Alto Networks proporciona análisis de URL en tiempo real y prevención de malware para generar un análisis de URL más preciso que el que es posible con las técnicas tradicionales de filtrado de bases de datos web por sí solas.
Te invitamos a seguir las redes sociales de NovaInstagram, Facebook y LinkedIn para que estes enterado de ésta y más noticias y poder ayudarte a estar protegido a través del amplio portafolio de soluciones en Ciberseguridad con el que contamos.
De acuerdo a un artículo generado por Microsoft las vulnerabilidades de Dia Cero (Zero day), son una de las principales fuentes para que los atacantes puedan crear tácticas nuevas y únicas para lanzar ataques y evadir la detección.
Las vulnerabilidades de zero day una vez expuestas públicamente pueden ser rápidamente utilizadas por otras entidades y cibercriminales, ya que éstas son particularmente efectivas para una explotación inicial. A medida que los actores de amenazas cibernéticas, tanto de entidades como criminales, se vuelven más expertos en aprovechar estas vulnerabilidades, se ha observado una reducción en el tiempo entre el anuncio de una vulnerabilidad y la mercantilización de éstas.
Muchas organizaciones asumen que es menos probable que sean víctimas de ataques de explotación de Zero Day si la gestión de vulnerabilidades es parte integral de la seguridad de su red. Sin embargo, la mercantilización de los exploits, los están llevando a un ritmo mucho más rápido. De tal modo que, los parches físicos demoran bastante en ser publicados y a esto se suma la demora en que estos son desplegados.
Los cibercriminales que utilizan vulnerabilidades de Zero Day, tienden a limitar inicialmente la explotación de este tipo de vulnerabilidades en las organizaciones, pero éstas se adoptan rápidamente en el ecosistema de actores de amenazas más grandes. Lo cual inicia una carrera para que los actores de amenazas exploten la vulnerabilidad tanto como sea posible antes de que sus objetivos potenciales instalen parches.
Asi mismo no solo los cibercriminales van tras las vulnerabilidades de Zero day, éstas podrían llegar a convertirse en armas gubernamentales. China en septiembre del 2021 creó la regulación de informe de vulnerabilidades, siendo el primer gobierno que requiere los informes de vulnerabilidades que se descubren en su territorio, para su revisión antes de que la vulnerabilidad se comparta con el propietario del servicio o producto, con esta regulación se permite que elementos del gobierno chino acumulen vulnerabilidades informadas para convertirlas en armas.
En promedio, tan sólo bastan 14 días para que un exploit sea desarrollado y esté disponible después de que se divulgue una vulnerabilidad de zero day. En la gráfica se proporciona un análisis de los plazos de explotación de las vulnerabilidades de zero day, desde el descubrimiento de una vulnerabilidad, hasta la llegada del exploit en herramientas automatizadas de hacking.
De acuerdo al estudio de Microsoft, las organizaciones tienen un promedio de 60 días para parchar los productos o servicios antes que el primer código fuente de un exploit sea publicado como PoC, y así mismo, tienen un promedio de 120 días para realizar dicho parcheo, antes de que los exploits lleguen a herramientas automatizadas de hacking como metasploit, ya que cuando un exploit llega a esta fase, el exploit es usado a gran escala, por lo que es más probable que la infraestructura de las organizaciones se llegue a comprometer si cuenta con esta vulnerabilidad.
Microsoft hace un par de recomendaciones para la mitigación de este tipo de vulnerabilidades:
1.- Priorizar la aplicación de parches a las vulnerabilidades de día cero tan pronto como se publiquen; no esperar a que se implemente el ciclo de administración de parches.
Si bien no siempre es posible implementar un parche por temas de producción o incluso por que en la mayoría de las ocasiones un parche físico tarda en ser liberado, aquí es donde entran los parches virtuales (Virtual Patching), que son reglas de seguridad que cubren desde la tarjeta de red del host el intento de explotación de alguna vulnerabilidad.
Además, este tipo de parches son publicados más rápido que un parche físico, por lo que la mitigación de la vulnerabilidad es en menor tiempo, sin tener que afectar la producción o esperar hasta el próximo despliegue de parches físicos.
De acuerdo con el ciclo de administración de parches, herramientas de seguridad como Cloud One – Endpoint & Workload Security de Trend Micro, con su módulo de seguridad llamado Intrusion Prevention, ofrece una gran cantidad de reglas de Virtual Patching, lo cual permite mitigar vulnerabilidades de Zero Day incluso con bastante anticipación vs la publicación de un parche físico.
Nova cuenta con esta herramienta dentro de su portafolio de soluciones.
2.- Documentar e inventariar todos los activos de hardware y software de la empresa para determinar el riesgo y determinar rápidamente cuándo actuar sobre los parches.
No todas las empresas llevan correctamente el inventario de sus activos de software y hardware, y en otras ocasiones sus inventarios no siempre se encuentran actualizados. Una de las herramientas con las Nova cuenta en su portafolio es Tanium, que ofrece diferentes módulos de seguridad, entre ellos Asset e Interact, con los cuales podremos conocer en tiempo real los host que tenemos en nuestra infraestructura, así mismo conocer que software tienen desplegados, también el descubrimiento de host o dispositivos desconocidos que lleguen a conectarse dentro de nuestra infraestructura.
Así mismo, con su módulo Patch podemos realizar el despliegue de los parches físicos de una forma centralizada y optimizada, el cual nos ayuda a priorizar las vulnerabilidades críticas y de zero day una vez que los fabricantes liberan los parches físicos, de esta forma tomando la recomendación 1 que nos marca Microsoft.
Te invitamos a seguir las redes sociales de NovaInstagram, Facebook y LinkedIn para que estes enterado de ésta y más noticias y poder ayudarte a estar protegido a través del amplio portafolio de soluciones en Ciberseguridad con el que contamos.
