logo nova
Search
logo nova

Etiqueta: trend micro

Publicado en

Cómo proteger a tu empresa de NAPLISTENER y otros ataques de ciberseguridad

naplistener

Las empresas deben estar alerta a las nuevas amenazas como NAPLISTENER que surgen cada día en el mundo digital. Hoy en día, los ciberdelincuentes se han vuelto más sofisticados en sus ataques y están utilizando nuevas herramientas, tácticas para infiltrarse en las redes empresariales y robar información confidencial. En este sentido, el reciente informe sobre el grupo de actividad de amenazas REF2924 es preocupante.

Este grupo, que ha sido conocido por atacar a países como Afganistán y miembros de ASEAN, ha sido observado desviando sus motivos del espionaje de datos a la persistencia de acceso dentro de las redes objetivo. Para lograr esto, han añadido una nueva herramienta a su arsenal llamada NAPLISTENER.

Según los investigadores de Elastic Security Labs, REF2924 está utilizando NAPLISTENER para atacar entidades en el sur y sudeste de Asia. NAPLISTENER es una amenaza tipo back door que finge ser el legítimo “Microsoft Distributed Transaction Coordinator” para evadir la detección y establecer la persistencia. Crea un “Listener” de solicitud HTTP para aceptar y procesar las solicitudes entrantes, y filtra los comandos de malware para que puedan mezclarse con el tráfico web legítimo. Además, lee los datos presentados, los decodifica y los ejecuta en memoria.

Es importante destacar que, según el análisis del código fuente de NAPLISTENER, el grupo ha tomado prestado el código del proyecto de GitHub de código abierto SharpMemshell. Además de NAPLISTENER, REF2924 ha estado utilizando varias herramientas adicionales durante sus recientes campañas. Estos incluyen SIESTAGRAPH, DOORME y ShadowPad, que se enfocan en el despliegue de varias puertas traseras en los servidores Microsoft Exchange expuestos a Internet.

Ante esta situación, es recomendable que las empresas adopten medidas preventivas adecuadas para proteger sus redes. La solución EDR de Trend Micro es una opción eficaz para detectar y responder a las amenazas de forma proactiva en los puntos finales. Esta solución monitorea el comportamiento de los archivos en tiempo real y utiliza inteligencia artificial para identificar patrones de comportamiento malicioso y prevenir ataques antes de que ocurran.

La amenaza de REF2924 es una señal de alarma para las empresas en todo el mundo. Es fundamental estar al tanto de las últimas tácticas y herramientas utilizadas por los ciberdelincuentes y tomar medidas preventivas adecuadas para proteger las redes empresariales. La solución EDR de Trend Micro es una opción confiable para garantizar la seguridad de la red y prevenir ataques de ciberdelincuentes.

Si desea obtener más información sobre cómo proteger su empresa de las amenazas cibernéticas, contáctenos. Nuestro equipo de expertos en ciberseguridad está listo para ayudarlo a proteger su empresa y garantizar la seguridad de su información confidencial.

Síguenos en nuestras redes sociales  Nova InstagramFacebook y LinkedIn para más contenido de cibersguridad.

Publicado en

Un ataque de ransomware cierra plantas mineras

ransomware en mineras

La Corporación Minera Copper Mountain (CMMC) de Canadá fue atacada por un ransomware el 27 de diciembre de 2022.

En respuesta a este incidente, la empresa implementó rápidamente sistemas y protocolos de gestión de riesgos. Además, la empresa está cerrando plantas de forma activa para evaluar el impacto en sus sistemas de control, aislando operaciones y pasando a procedimientos manuales cuando sea posible.

La CMMC de 18,000 acres, que es propiedad parcial de Mitsubishi Materials, produce un promedio de 100 millones de libras de cobre por año y se estima que tiene más de 32 años de reservas minerales. “Los equipos de TI internos y externos de la empresa continúan evaluando los riesgos e implementando medidas de seguridad adicionales para mitigar cualquier riesgo adicional para la empresa”, dijo Copper Mountain Mining Corp en un nuevo comunicado.

Alcance del ataque

Según el consejo de CMMC, la brecha de seguridad cibernética no comprometió las medidas de seguridad de ninguna manera y no puso en peligro el medio ambiente. “No hubo incidentes de seguridad o ambientales como resultado del ataque. La principal prioridad de la compañía sigue siendo garantizar operaciones seguras y limitar el impacto operativo y financiero”, dijo la compañía.

Reanudar el negocio lo antes posible puede ayudar a las organizaciones a minimizar el impacto financiero de un incidente. “Copper Mountain está investigando el origen del ataque y se está comunicando con las autoridades correspondientes para ayudar a la empresa” – Copper Mountain Mining Corporation of Canada

El 13 de diciembre de 2022, un ciberdelincuente publicó la información de la cuenta de un empleado de CMMC en el mercado de piratas informáticos. Dada la fecha reciente entre la oferta de venta de las credenciales y el informe del ataque de ransomware, es probable que los piratas informáticos hayan utilizado las cuentas comprometidas para obtener acceso a la red de la empresa.

Los hallazgos de la empresa de seguridad Dragos revelaron que 86 ataques se dirigieron específicamente a los sistemas de las organizaciones de fabricación, en particular las relacionadas con los productos metálicos y la industria automotriz. Dragos señaló que solo la pandilla de ransomware LockBit apuntó a las industrias de tratamiento de agua y minería. Según la empresa alemana Aurubis, “esto es claramente parte de un ataque mayor a la industria de los metales y la minería”.

Recomendación: soluciones para evitar ransomware

Las siguientes soluciones están disponibles en el portafolio de Nova:

Apex One

Una solución de seguridad de Trend Micro. Es una solución que ofrece una amplia gama de funcionalidades de seguridad, como protección de amenazas en tiempo real, prevención de intrusiones, parcheo virtual, detección de comportamientos sospechosos y protección contra ransomware. Apex One se puede utilizar tanto en endpoints como en servidores y se puede integrar con otras soluciones de seguridad de Trend Micro y con sistemas de gestión de seguridad de terceros.

Una característica destacable es su adaptabilidad constante, aprendiendo y compartiendo de forma automática información sobre amenazas en su entorno.

Email Security

Solución de Trend Micro diseñada para proteger tu organización de amenazas a través de correo electrónico, ayuda a evitar spam, phishing, correos sospechosos, virus y otros tipos de malware que se distribuyen a través de correo electrónico, además nos ayuda a proteger la información confidencial de nuestra organización.

Te invitamos a seguir las redes sociales de Nova InstagramFacebook y LinkedIn para que estes enterado de ésta y más noticias y poder ayudarte a estar protegido a través del amplio portafolio de soluciones en Ciberseguridad con el que contamos.

Publicado en

Los grupos Ransomware as a service más activos de 2022.

RaaS actividad

De acuerdo con la actividad de seguimiento de Trend Micro con respecto al ransomware as a service para el segundo y tercer trimestre de 2022, se centra en las cuatro familias que registraron la mayor cantidad de ataques, las cuales son: LockBit , BlackCat , el recién llegado Black Basta y Karakurt, considerado como el brazo de extorsión del grupo de ransomware Conti.

La mayor cantidad de víctimas en el segundo y tercer trimestre combinados fueron registrados por LockBit y Black Basta. Los datos mostraron que LockBit contó un total de 436 organizaciones de víctimas, mientras que Black Basta tuvo un total de 101 durante el período de seis meses. Karakurt, por otro lado, ocupó el segundo lugar en el tercer trimestre, un lugar que ocupó BlackCat en el segundo trimestre del año.

El modelo de ransomware como servicio (RaaS) durante el período de abril a septiembre de 2022 se ha visto favorecido al tener una velocidad de implementación de malware y pagos más elevados dentro del período comprendido entre abril a septiembre de 2021. Estos informes se basan en datos de los sitios de RaaS y grupos de extorsión, la investigación de inteligencia de código abierto (OSINT) de Trend Micro y Trend Micro™ Smart Protection Network™, recopilados del 1 de abril al 30 de septiembre de 2022.

Las detecciones de ransomware en el tercer trimestre aumentaron un 15.2% en comparación con el trimestre anterior, ya que los grupos RaaS activos aumentaron un 13.3%.

Según los datos recopilados de los sitios de los grupos de ransomware, la mayor cantidad de ataques exitosos en el período de seis meses se atribuye a operadores RaaS conocidos: LockBit, BlackCat, Black Basta y el grupo de extorsión de datos Karakurt.

Grupos de ransomware
Ilustración 1. Familias de ransomware más utilizadas en RaaS

No sorprende que los ciberdelincuentes apunten a organizaciones percibidas como altamente vulnerables. Los actores de ransomware saben que toda la operación de las pequeñas y medianas empresas puede detenerse por completo cuando se enfrentan a ataques cibernéticos, ya que estas empresas tienen menos recursos de seguridad de TI para responder a los ataques cibernéticos.

  • Las pequeñas empresas comprendían el 43,1% de las víctimas de Black Basta en el segundo trimestre y el 40% en el tercer trimestre.
  • Por su parte, las medianas empresas obtuvieron participaciones de 35,3% y 38% en el segundo y tercer trimestre, respectivamente.
  • Las grandes empresas constituyeron el 21,6% en el segundo trimestre, descendiendo al 16% en el tercer trimestre.

Las organizaciones de América del Norte y Europa dominaron la lista de víctimas de LockBit desde abril hasta septiembre de 2022, ya que estas regiones ocuparon alternativamente el primer y segundo lugar en el segundo y tercer trimestre del año. Asia-Pacífico y América Latina ocuparon el tercer y cuarto lugar en el segundo y tercer trimestre, manteniendo las participaciones que tenían en ambos trimestres.

Independientemente del tamaño, las organizaciones son vulnerables a los ataques de ransomware modernos. Los actores maliciosos tienen todos los motivos para actualizar constantemente su arsenal de malware, idear esquemas más sigilosos para superar a la competencia y obtener una mayor parte de la recompensa. Por lo tanto, es clave una mentalidad proactiva para mitigar los riesgos de los ataques de ransomware.

Los correos electrónicos se han convertido en la principal puerta de entrada de ataques cibernéticos en las empresas, es por ello que recomendamos tomar medidas y adoptar soluciones que nos informen si estamos siendo atacados y mitiguen las principales amenazas.

Recomendación para prevenir ser victima del ransomware as a service.

Trend Micro Email Security y Vision One incluida dentro del portafolio de soluciones de seguridad dentro del portafolio de Nova. Son soluciones que nos ayudan a gestionar la ciberprotección en un panorama de amenazas que evolucionan continuamente y nos pueden ayudar a tener una protección todo en uno automatizada y detallada, dentro de la cual Trend Micro Email Security™ ofrece protección continuamente actualizada contra BEC, ransomware, spam y ataques dirigidos avanzados y Trend Micro Vision One™ ofrece una perspectiva más amplia y un mejor contexto para detectar amenazas con las capacidades de XDR líderes de la industria.

Con Trend Micro Email Security, los administradores de correo configuran políticas para gestionar los mensajes de correo electrónico en función de las amenazas detectadas. Por ejemplo, los administradores pueden eliminar el malware detectado de los mensajes entrantes antes de que lleguen a la red corporativa o poner en cuarentena el spam detectado y otros mensajes inapropiados.

Además, Trend Micro Email Security ofrece Email Continuity contra eventos de tiempo de inactividad planificados o no planificados, lo que permite a los usuarios finales continuar enviando y recibiendo mensajes de correo electrónico en caso de una interrupción.

Dentro de las características principales que nos puede ofrecer se encuentran las siguientes:

  • Protección por capas
  • Protección contra el fraude por correo electrónico
  •  Protección contra exploits de documentos
  • Protección avanzada contra amenazas
  • Extracción de contraseñas de archivos
  • Tiempo de clic en la URL
  • Verificación y autenticación de la Fuente

Gracias a esto podemos detectar y reaccionar contra los ataques antes de cualquier daño y tener visibilidad en las diferentes capas de nuestra estrategia de ciberseguridad blidando toda la organización.

Te invitamos a seguir las redes sociales de Nova InstagramFacebook y LinkedIn para que estes enterado de ésta y más noticias y poder ayudarte a estar protegido a través del amplio portafolio de soluciones en Ciberseguridad con el que contamos.

Publicado en

El Impacto de las Vulnerabilidades Zero Day

impacto de vulnerabilidades zero day

De acuerdo a un artículo generado por Microsoft las vulnerabilidades de Dia Cero (Zero day), son una de las principales fuentes para que los atacantes puedan crear tácticas nuevas y únicas para lanzar ataques y evadir la detección. 

Las vulnerabilidades de zero day una vez expuestas públicamente pueden ser rápidamente utilizadas por otras entidades y cibercriminales, ya que éstas son particularmente efectivas para una explotación inicial.  A medida que los actores de amenazas cibernéticas, tanto de entidades como criminales, se vuelven más expertos en aprovechar estas vulnerabilidades, se ha observado una reducción en el tiempo entre el anuncio de una vulnerabilidad y la mercantilización de éstas.

Muchas organizaciones asumen que es menos probable que sean víctimas de ataques de explotación de Zero Day si la gestión de vulnerabilidades es parte integral de la seguridad de su red. Sin embargo, la mercantilización de los exploits, los están llevando a un ritmo mucho más rápido. De tal modo que, los parches físicos demoran bastante en ser publicados y a esto se suma la demora en que estos son desplegados.

Los cibercriminales que utilizan vulnerabilidades de Zero Day, tienden a limitar inicialmente la explotación de este tipo de vulnerabilidades en las organizaciones, pero éstas se adoptan rápidamente en el ecosistema de actores de amenazas más grandes. Lo cual inicia una carrera para que los actores de amenazas exploten la vulnerabilidad tanto como sea posible antes de que sus objetivos potenciales instalen parches.

Asi mismo no solo los cibercriminales van tras las vulnerabilidades de Zero day, éstas podrían llegar a convertirse en armas gubernamentales. China en septiembre del 2021 creó la regulación de informe de vulnerabilidades, siendo el primer gobierno que requiere los informes de vulnerabilidades que se descubren en su territorio, para su revisión antes de que la vulnerabilidad se comparta con el propietario del servicio o producto, con esta regulación se permite que elementos del gobierno chino acumulen vulnerabilidades informadas para convertirlas en armas.

En promedio, tan sólo bastan 14 días para que un exploit sea desarrollado y esté disponible después de que se divulgue una vulnerabilidad de zero day.  En la gráfica se proporciona un análisis de los plazos de explotación de las vulnerabilidades de zero day, desde el descubrimiento de una vulnerabilidad, hasta la llegada del exploit en herramientas automatizadas de hacking.

De acuerdo al estudio de Microsoft, las organizaciones tienen un promedio de 60 días para parchar los productos o servicios antes que el primer código fuente de un exploit sea publicado como PoC, y así mismo, tienen un promedio de 120 días para realizar dicho parcheo, antes de que los exploits lleguen a herramientas automatizadas de hacking como metasploit,  ya que cuando un exploit llega a esta fase, el exploit es usado a gran escala, por lo que es más probable que la infraestructura de las organizaciones se llegue a comprometer si cuenta con esta vulnerabilidad.

Microsoft hace un par de recomendaciones para la mitigación de este tipo de vulnerabilidades:

1.- Priorizar la aplicación de parches a las vulnerabilidades de día cero tan pronto como se publiquen; no esperar a que se implemente el ciclo de administración de parches.

Si bien no siempre es posible implementar un parche por temas de producción o incluso por que en la mayoría de las ocasiones un parche físico tarda en ser liberado, aquí es donde entran los parches virtuales (Virtual Patching), que son reglas de seguridad que cubren desde la tarjeta de red del host el intento de explotación de alguna vulnerabilidad. 

Además, este tipo de parches son publicados más rápido que un parche físico, por lo que la mitigación de la vulnerabilidad es en menor tiempo, sin tener que afectar la producción o esperar hasta el próximo despliegue de parches físicos.

De acuerdo con el ciclo de administración de parches, herramientas de seguridad como Cloud One – Endpoint & Workload Security de Trend Micro, con su módulo de seguridad llamado Intrusion Prevention, ofrece una gran cantidad de reglas de Virtual Patching, lo cual permite mitigar vulnerabilidades de Zero Day incluso con bastante anticipación vs la publicación de un parche físico.

Nova cuenta con esta herramienta dentro de su portafolio de soluciones.

2.- Documentar e inventariar todos los activos de hardware y software de la empresa para determinar el riesgo y determinar rápidamente cuándo actuar sobre los parches.

No todas las empresas llevan correctamente el inventario de sus activos de software y hardware, y en otras ocasiones sus inventarios no siempre se encuentran actualizados. Una de las herramientas con las Nova cuenta en su portafolio es Tanium, que ofrece diferentes módulos de seguridad, entre ellos Asset e Interact, con los cuales podremos conocer en tiempo real los host que tenemos en nuestra infraestructura, así mismo conocer que software tienen desplegados, también el descubrimiento de host o dispositivos desconocidos que lleguen a conectarse dentro de nuestra infraestructura.

Así mismo, con su módulo Patch podemos realizar el despliegue de los parches físicos de una forma centralizada y optimizada, el cual nos ayuda a priorizar las vulnerabilidades críticas y de zero day una vez que los fabricantes liberan los parches físicos, de esta forma tomando la recomendación 1 que nos marca Microsoft.

Consulta la fuente de este artículo aquí:

Te invitamos a seguir las redes sociales de Nova Instagram, Facebook y LinkedIn para que estes enterado de ésta y más noticias y poder ayudarte a estar protegido a través del amplio portafolio de soluciones en Ciberseguridad con el que contamos.

Publicado en

SolidBit Ahora también en versión RaaS.

SolidBit

Los investigadores de Trend Micro analizaron recientemente una muestra de una nueva variante de ransomware SolidBit que se dirige a los usuarios de videojuegos populares y plataformas de redes sociales. El malware está disfrazado de diferentes aplicaciones, incluida una herramienta de verificación de cuentas de League of Legends  y un bot de seguidores de Instagram, para atraer a las víctimas.

Videojuegos.         

El verificador de cuentas de League of Legends en GitHub se incluye con un archivo que contiene instrucciones sobre cómo usar la herramienta, pero ese es el alcance de la pretensión: no tiene una interfaz gráfica de usuario (GUI) o cualquier otro comportamiento relacionado con su supuesta función. Cuando una víctima desprevenida ejecuta la aplicación, automáticamente ejecuta códigos maliciosos de PowerShell que eliminan el ransomware. Otro archivo que viene con el ransomware se llama “Código fuente”, pero parece ser diferente del binario compilado.

Redes sociales.

¿Has usado estas apps? “Social Hacker” e “Instagram Follower Bot”. Esta nueva variante de SolidBit venía incluida de regalo.

Ambas aplicaciones maliciosas muestran un mensaje de error cuando se ejecutan en una máquina virtual. Muestran el mismo comportamiento que el comprobador de cuentas falso de League of Legends, en el que sueltan y ejecutan un ejecutable que, a su vez, suelta y ejecuta la carga útil del ransomware SolidBit.

SolidBit – RaaS.

Los actores maliciosos detrás de SolidBit no solo están recurriendo a aplicaciones maliciosas como medio para propagar el ransomware. También sabemos que el grupo de ransomware SolidBit ofrece hasta el 80% del pago como comisión a aquellos que penetren el sistema de alguna victima con el malware.

Recomendación.

Trend Micro Apex One y Vision One incluida dentro del portafolio de soluciones de seguridad de Nova, son soluciones que nos ayudan a gestionar la ciberprotección en un panorama de amenazas que evolucionan continuamente, nos pueden ayudar a tener una protección todo en uno automatizada y detallada.

Trend Micro Apex One™ ofrece una detección y respuesta frente amenazas automatizada y avanzada, así como protección contra amenazas en crecimiento como el ransomware sin archivos.

Vision One™ ofrece una perspectiva más amplia y un mejor contexto para detectar amenazas con las capacidades de XDR líderes de la industria.

De igual forma aproveche las técnicas de detección avanzadas para detectar y responder proactivamente ante las amenazas antes de que realicen cualquier daño. Gracias a Trend Micro Vision One™, obtiene capacidades XDR con funcionalidad completa para profundizar en las capacidades de detección, investigación y respuesta, para que pueda ampliarlas en múltiples capas de seguridad para una mayor visibilidad y respuesta ante amenazas que impactan en toda la organización.

Te invitamos a seguir las redes sociales de Nova  Instagram, Facebook y LinkedIn para que estes enterado de ésta y más noticias, así podremos ayudarte a estar protegido a través del amplio portafolio de soluciones en Ciberseguridad con el que contamos.

#NovaRecomienda

Consulta la fuente de este artículo aquí:

Publicado en

Vulnerabilidad de ejecución remota de código en OpenSSL

vulnerabilidad de ejecución remota

En las más recientes actualizaciones de OpenSSL se encontraron 2 errores de seguridad en específico en el servicio, en estos errores encontrados se incluye una vulnerabilidad de ejecución remota grave que afecta la operación de la clave privada de RSA. La explotación de esta vulnerabilidad podría permitir a los atacantes la ejecución de código remoto.

Esta vulnerabilidad de corrupción de memoria de alta gravedad afectó a la versión de OpenSSL 3.0.4. El fallo existía en la implementación de RSA para CPU´s X86_64 que soportan las instrucciones AVX512IFMA. Al describir el impacto de esta vulnerabilidad CVE-2022-2274 se dijo: “Este problema hace que la implementación de RSA con claves privadas de 2048 bits sea incorrecta en dichas máquinas y la memoria se dañara durante el cálculo. Como consecuencia de la corrupción de memoria, un atacante puede desencadenar una ejecución remota de código en la máquina que realiza el cálculo.”

Esta vulnerabilidad existía en la versión de OpenSSL 3.0.4 descartando la afectación en las versiones 1.1.1 y 1.0.2.  Junto con esta falla, los proveedores también han solucionado un error de gravedad moderada (CVE-2022-2097) en el modo de AES OCB para plataformas x86_32 mediante la implementación optimizada de ensamblado AES-NI, bajo ciertas condiciones, esta implantación fallaría en cifrar los datos en su totalidad, haciendo inútil el propósito de implementar el cifrado de OpenSSL.

Como resultado, esta vulnerabilidad podría exponer datos en texto sin formato tal como se publicó en un comunicado. “Esto podría revelar 16 bytes de datos que ya existían en la memoria y que no estaban escritos. En el caso especial del cifrado “in place”, se revelarían 16 bytes del texto sin formato”

Este problema no afectó a TLS y DTLS debido a que OpenSSL no es compatible con el cifrado basado en OCB para ellos.

Estas vulnerabilidades ya recibieron correcciones con la versión 3.0.5 de OpenSSL.  Los usuarios con versión 1.1.1 deberían considerar actualizar última versión 1.1.1 para obtener solución para CVE-2022-2097.

Recomendación para la vulnerabilidad de ejecución remota:

La solución Apex One de Trend Micro disponible en el portafolio de Nova, utiliza combinaciones de técnicas avanzadas de protección contra amenazas para eliminar brechas de seguridad en cualquier actividad del usuario o terminal.

Ofreciendo mucho más que un simple escaneo, Apex One usa un sistema de prevención de intrusiones basado en host (HIPS) para parchar virtualmente vulnerabilidades.

Síguenos en InstagramFacebook y LinkedIn para para más contenido de ciberseguridad.

Consulta la fuente de este artículo aquí:

Publicado en

Karakurt, un grupo cibercriminal que extrae información de organizaciones.

Esta operación maliciosa se caracteriza por no usar malware durante sus intrusiones, contrario a prácticamente cualquier otro grupo de extorsión. Los rescates exigidos por Karakurt van desde los $25,000 hasta los $13 millones, y siempre se debe realizar el pago a través de bitcoin. Karakurt había comenzado como una agrupación de filtraciones y subastas en la dark web, aunque el dominio utilizado para sus operaciones fue desconectado hace un par de meses. Para inicios de mayo, el nuevo sitio web de Karakurt contenía varios terabytes de datos presuntamente pertenecientes a víctimas en América del Norte y Europa, además de una lista de supuestas víctimas.

Otro rasgo característico de Karakurt es que no se enfocan solamente en un tipo específico de víctima, ya que simplemente basan sus ataques en la posibilidad de acceder a las redes comprometidas. Para sus ataques, los hackers pueden usar mecanismos poco protegidos y debilidades de infraestructura, o bien colaborar con otros grupos cibercriminales para obtener acceso inicial al objetivo. Acorde a CISA, comúnmente los hackers obtienen acceso a las redes comprometidas explotando dispositivos SonicWall VPN o Fortinet FortiGate sin actualizaciones u obsoletos, empleando fallas populares como Log4Shell o errores en Microsoft Windows Server.

Según un informe, Karakurt es parte de la red Conti, que opera como un grupo autónomo junto con Black Basta y BlackByte, otros dos grupos que dependen del robo de datos y la extorsión con fines de monetización.

Recomendación.

El mantener los aplicativos actualizados a últimas versiones recomendadas por el fabricante puede garantizar una cobertura más amplia ante ataques, debido a que en nuevas actualizaciones o parches los fabricantes suelen añadir nuevas características para evitar vulnerabilidades.

Con Deep Discovery Inspector de Trend Micro al ser un aplicativo de red física o virtual, nos proporciona visibilidad, inspección de tráfico, detección de amenazas avanzadas y un análisis en tiempo real. Esto gracias a que algunos de sus métodos de detección son:

  • Simulación de aislamiento personalizado.
  • Análisis heurístico basado en reglas.
  • Análisis de malware.
  • Supervisa el tráfico de red conectándose al puerto espejo de un conmutador para una interrupción mínima o nula de la red.

Síguenos en Instagram, Facebook y LinkedIn para más contenido de ciberseguridad y tecnologías de la información.

Consulta la fuente de este artículo aquí.

#NovaRecomienda

Publicado en

Emotet está de vuelta después de 10 meses, con nuevas técnicas para propagar malware.

La botnet parece utilizar un nuevo método de entrega para comprometer los sistemas Windows después de que Microsoft deshabilita las macros de VBA de forma predeterminada.

Los ataques de malware de Emotet están de vuelta después de un “spring break” de 10 meses. Ese nuevo enfoque incluye ataques de phishing más específicos, diferentes de las campañas anteriores.

Analistas vincularon esta actividad con el actor de amenazas conocido como TA542, que desde 2014 ha aprovechado el malware Emotet con gran éxito.

Emotet, una vez apodado “el malware más peligroso del mundo” está siendo aprovechado en su campaña más reciente para entregar ransomware. Los responsables de la distribución del malware han estado en la mira de las fuerzas del orden durante años. En enero de 2021, las autoridades de Canadá, Francia, Alemania, Lituania, los Países Bajos, Ucrania, el Reino Unido y los Estados Unidos trabajaron juntos para derribar una red de cientos de servidores de botnets que soportan Emotet, como parte de la “Operación LadyBird”.

Nueva fase de Emotet

Los atacantes detrás del malware han enviado millones de correos electrónicos de phishing diseñados para infectar los dispositivos con malware y pueden ser controlados por botnets.

Esta nueva prueba de correos electrónicos de phishing podría ser el resultado de las acciones de Microsoft para deshabilitar macros específicas asociadas con las aplicaciones de Office en febrero de 2022. En ese momento, Microsoft dijo que estaba cambiando los valores predeterminados para cinco aplicaciones de Office que ejecutan macros. Esto evita que los atacantes se dirijan a documentos con servicios de automatización para ejecutar el malware en los sistemas de las víctimas.

Las nuevas técnicas observadas en campañas recientes parecían probarse a menor escala, como una prueba de potencial para una campaña más grande.

Las nuevas campañas utilizan cuentas de correo electrónico comprometidas para enviar correos electrónicos de spam-phishing con un título llamativo de una palabra. Los términos comunes en los ataques de phishing incluyen “salario” se utilizan para alentar a los usuarios a hacer clic por curiosidad, las nuevas técnicas observadas en campañas recientes parecían probarse a menor escala, como una prueba de potencial para una campaña más grande.

Según los investigadores, el uso de URL de OneDrive y XLL hace que esta campaña sea distinta de las anteriores. Anteriormente, Emotet intentó propagarse a través de archivos adjuntos de Microsoft Office o URL de phishing. Esas cargas maliciosas incluían documentos de Word y Excel que contenían scripts o macros de Visual Basics para Aplicaciones (VBA).

Recomendación

Trend Micro Email Security, incluido dentro del portafolio de NOVA nos ayuda a detener ataques de phishing, ransomware y BEC. Con tecnología de seguridad XGen™, nuestra solución utiliza una combinación óptima de técnicas de amenazas intergeneracionales, como machine learning, análisis en sandbox, prevención de pérdida de datos (DLP) y otros métodos para detener todo tipo de amenazas de correo electrónico.

También cuenta con autenticación basada en el dominio, SPF, DKIM y DMARC son tres sistemas de autenticación de correo electrónico que protegen contra el falseamiento del correo electrónico.

El marco de directivas de remitente (SPF) es un estándar abierto para evitar la falsificación de direcciones de remitente. El SPF protege el remite, que se usa para entregar los mensajes de correo electrónico. Email Security le permite comprobar la autenticidad del remitente mediante la configuración de SPF.

DomainKeys Identified Mail (DKIM) es un sistema de validación de correo electrónico que detecta el falseamiento del correo electrónico validando la identidad del nombre de dominio asociada con un mensaje mediante la autenticación criptográfica. Asimismo, DKIM se usa para garantizar la integridad de los mensajes entrantes y para comprobar que un mensaje no se ha alterado durante la transferencia.

La autenticación de mensajes, informes y conformidad basada en dominios (DMARC) es un sistema de validación de correo electrónico que permite detectar y evitar el falseamiento de correo electrónico. Está diseñado para luchar contra determinadas técnicas que se utilizan en el phishing y el spam, como mensajes de correo electrónico con direcciones de remitentes falsos que parecen proceder de organizaciones legítimas. Permite autenticar mensajes de correo electrónico para dominios específicos, enviar información a los remitentes y ajustarse a una política publicada.

Una vez implementado Trend Micro Email Security los administradores de correo pueden configurar reglas para detectar y eliminar malware de los mensajes entrantes antes de que lleguen a la red corporativa Email Security puede poner en cuarentena el spam detectado y otros mensajes inadecuados. 

Síguenos en Instagram, Facebook y LinkedIn para más contenido de ciberseguridad y tecnologías de la información.

Consulta a fuente de la noticia aquí.

#NovaRecomienda

Publicado en

CVE-2022-22965: Análisis sobre explotación de la vulnerabilidad Spring4Shell en el armado y ejecución del malware Mirai Botnet

Trend Micro Threat Research observó la explotación activa de la vulnerabilidad Spring4Shell asignada como CVE-2022-22965, que permite a los actores malintencionados armar y ejecutar el malware de botnet Mirai. La explotación permite a los actores de amenazas descargar la muestra de Mirai a la carpeta “/tmp” y ejecutarlos después del cambio de permiso usando “chmod”.

Comenzó a ver actividades maliciosas a principios de abril de 2022. También logró localizar el servidor de archivos de malware con otras variantes de la muestra para diferentes arquitecturas de CPU.

¿Qué es Spring Framework?

Spring Framework es parte del ecosistema Spring, que comprende otros componentes para la nube, datos y seguridad, entre otros.

Spring Framework se utiliza para desarrollar aplicaciones de nivel empresarial en Java. Es una plataforma que proporciona una infraestructura completa para admitir aplicaciones basadas en modelo, vista, controlador o MVC desarrolladas para reducir la configuración manual y mejorar la gestión de la memoria. También hace que el código sea más reutilizable y más fácil de mantener al implementar algunos patrones de diseño universalmente.

Dependencias, software y versiones afectadas

En el momento de escribir este artículo, la mayoría de las configuraciones vulnerables se generaron para las siguientes dependencias:

  • Versiones de Spring Framework anteriores a 5.2.20, 5.3.18 y Java Development Kit (JDK) versión 9 o superior
  • Apache Tomcat
  • Dependencia de spring-webmvc o spring-webflux
  • Usar el enlace de parámetros Spring que está configurado para usar un tipo de parámetro no básico, su acrónimo en inglés Plain Old Java Objects (POJO)
  • Desplegable, empaquetado como un archivo de aplicación web (WAR)
  • Sistema de archivos grabable como aplicaciones web o ROOT

En general, esta vulnerabilidad ocurre cuando se exponen objetos o clases especiales bajo ciertas condiciones. Es bastante común que los parámetros de solicitud estén vinculados a un POJO que no está anotado con @RequestBody, lo que ayuda a extraer parámetros de solicitudes HTTP. La variable de clase contiene una referencia al objeto POJO al que se asignan los parámetros HTTP.

Los actores de amenazas pueden acceder directamente a un objeto especificando la variable de clase en sus solicitudes. Los actores malintencionados también pueden acceder a todas las propiedades secundarias de un objeto a través de los objetos de clase. Como resultado, pueden acceder a todo tipo de otros objetos valiosos en el sistema simplemente siguiendo las cadenas de propiedades.

En Spring Core para “class.classLoader” y “class.protectionDomain”, la lógica evita el acceso malicioso a las propiedades secundarias del objeto de clase. Sin embargo, la lógica no es infalible y, de hecho, puede omitirse utilizando el selector “class.module.classLoader”.

Riesgos asociados si no se repara

La vulnerabilidad RCE brinda a los actores de amenazas acceso total a los dispositivos comprometidos, lo que la convierte en una vulnerabilidad crítica y peligrosa. Los actores maliciosos pueden lograr varios objetivos a través de ataques RCE. A diferencia de otros exploits, un ataque RCE suele dar como resultado lo siguiente:

  • Creación de una ruta para permitir el acceso inicial a un dispositivo que permite a los actores de amenazas instalar malware o lograr otros objetivos
  • Provisión de medios para propagar malware que extrae y extrae datos de un dispositivo, o habilitación de comandos que instalan malware diseñado para robar información
  • Denegación de servicio que interrumpe el funcionamiento de los sistemas u otras aplicaciones en el sistema
  • Despliegue y ejecución de malware de cryptomining o cryptojacking en dispositivos expuestos mediante la explotación de la vulnerabilidad RCE
  • Despliegue de ransomware que encripta archivos y retiene el acceso hasta que las víctimas paguen el rescate

Parches y mitigaciones disponibles

Se han lanzado parches para esta vulnerabilidad, se recomienda la actualización de:

  • Spring Framework a las versiones 5.3.18+ y 5.2.20+.
  • Spring Boot a las versiones 2.6.6+ y 2.5.12+.

Trend Micro también ha lanzado reglas y filtros para detección y protección en algunos de sus productos. Estos proporcionan protección adicional y detección de componentes maliciosos asociados a esta amenaza.

Workload Security y Deep Security IPS

  • Regla 1011372 – Spring Framework “Spring4Shell” Remote Code Execution Vulnerability (CVE-2022-22965)

Network Security y TippingPoint

  • Filtro 41108: HTTP: Spring Core Code Execution Vulnerability

Reglas inspección de contenido de red Trend Micro Deep Discovery Inspector

  • Regla 4678: CVE-2022-22965 – Spring RCE Exploit – HTTP(Request)
  • Regla 4679: Possible Java Classloader RCE Exploit – HTTP(Request)

Te invitamos a seguir las redes sociales de Nova Instagram, Facebook y LinkedIn para que estes enterado de ésta y más noticias y poder ayudarte a estar protegido a través del amplio portafolio de soluciones en Ciberseguridad con el que contamos incluyendo Trend Micro.

Consulta la fuente de este artículo aquí:

#NovaInforma

Publicado en

Se detectan correos con el propósito de extorsionar a usuarios para difundir supuestos videos íntimos

Se han detectado correos electrónicos los cuales tienen como objetivo extorsionar a los usuarios para que paguen dinero en bitcoins a cambio de no publicar o difundir supuestas grabaciones intimas. Este tipo de ataques / ciber extorsión son con la finalidad de preocupar al usuario para poder recibir un pago ante supuestos videos que ni siquiera existen y así de esta manera el usuario receptor del correo malicioso proceda a realizar el pago hacia el atacante.

El correo electrónico malicioso simula ser enviado desde la propia cuenta del usuario ya que en este tipo de acciones suplantan la identidad del usuario. Aunque realmente no es así, podemos comprobar el remitente real siguiendo los pasos de este contenido: Email spoofing: comprueba quién te envía un correo sospechoso.

El asunto del correo es el siguiente: ‘Propuesta de negocio’, pero podrían existir otros correos con información o asunto similares o bien pueden ser diferentes, pero con la misma finalidad.

Dentro del correo se le menciona al usuario afectado que su dispositivo ha sido infectado con un software espía con el que han conseguido extraer información de supuestos vídeos íntimos. En este punto el ciberdelincuente amenaza con difundir los videos entre los contactos del destinatario del correo, a no ser que realice un pago en bitcoins en un plazo de 48 horas. El objetivo de este tiempo es evitar que el usuario pueda analizar detenidamente la situación y pueda tomar medidas o acciones para evitar el ataque ante el miedo de pensar que dicho material comprometido pueda ser distribuido.

El atacante indica en el texto del mensaje que si se realiza el pago en el plazo indicado se procederá a eliminar los videos. Como se ha mencionado, el ciberdelincuente no tiene ninguna información personal ni videos, simplemente es la excusa que utilizan para que el usuario proceda a realizar el pago.

Recursos afectados:

Cualquier usuario que haya recibido un correo electrónico con características similares y haya hecho acciones como realizar el pago, entrado a algún link que esté en el cuerpo del correo, descargado algún archivo adjunto dentro de ese correo, podría afectar directamente su computadora.

Posible Solución:

En cuanto se reciba un correo sospechoso con las características descritas en este aviso de seguridad es recomendable no contestar y eliminarlo al momento. Nadie ha tenido acceso a tus dispositivos, ni ha grabado un vídeo íntimo. Se trata de un engaño que utiliza estrategias de ingeniería social para que sigas las indicaciones del ciberdelincuente.

NOTA IMPORTANTE: No se debe realizar ningún pago de ninguna cantidad, sobre todo no responder el correo ya que con esta acción estamos avisando a los ciberdelincuentes que nuestra cuenta / dominio están activos y de esta manera el ciber atacante mandará más ataques en el futuro.

Recomendación:

Nova recomienda una de las mejores soluciones en su portafolio TREND MICRO EMAIL SECURITY

Trend Micro™ Email Security detiene más ataques de phishing, ransomware y BEC energizado por

Seguridad XGen™. Nuestra solución utiliza una combinación óptima de técnicas de amenazas intergeneracionales, como aprendizaje automático, análisis de sandbox, prevención de pérdida de datos (DLP) y otros métodos para detener todo tipos de amenazas de correo electrónico.

Esta solución minimiza los gastos generales de administración y se integra con otras capas de seguridad de Trend Micro para compartir inteligencia sobre amenazas y brindar visibilidad central de las amenazas en toda su organización.

CARACTERÍSTICAS CLAVE TREND MICRO EMAIL SECURITY

• Protección en capas

• Protección contra el fraude por correo electrónico

• Protección contra vulnerabilidades de documentos

• Protección contra amenazas avanzada

• Extracción de archivos con contraseña

• Hora del clic en la URL

• Verificación y autenticación de la fuente

• Inteligencia de amenazas

• Cifrado de correo electrónico

• DLP

• Continuidad del correo electrónico

• Informes flexibles

• Connected Threat Defense

Síguenos en Instagram, Facebook y LinkedIn para más contenido de ciberseguridad y tecnologías de la información.

Consulta la Fuente de esta noticia aquí:

#NovaRecomienda