¡Primeros ciberataques masivos de BlueKeep!

Investigadores en ciberseguridad han descubierto un nuevo ciberataque que se cree es el primer intento de explotar la famosa vulnerabilidad de escritorio remoto “BlueKeep” de forma masiva, esto podría comprometer en masa los sistemas vulnerables para obtener recompensas en criptomonedas, como en este momento está sucediendo en Europa, como con La Ser, Everis y otras empresas.

En mayo de este año, Microsoft lanzó un parche de alta criticidad de ejecución de código remoto, el cual llamaron BlueKeep, la vulnerabilidad de servicio de escritorio remoto puede ser explotada para lograr el control absoluto de los sistemas vulnerables simplemente enviando solicitudes especialmente diseñadas sobre RDP.

BlueKeep, categorizado como CVE-2019-0708, es una vulnerabilidad empotrable en un gusano o un posible malware para propagarse automáticamente de una computadora vulnerable a otra sin requerir la interacción de las víctimas.

BlueKeep ha sido considerado una vulnerabilidad tan grave que Microsoft e incluso a nivel gubernamental como la NSA o la GCHQ han estado continuamente advirtiendo y alentando a usuarios y administradores a cargar los parches de seguridad en sus sistemas.

Incluso varios investigadores y marcas que han logrado explotar esta vulnerabilidad con éxito sin llegar a publicar el desarrollo, ya que casi un millón de sistemas seguían vulnerables pasado un mes del lanzamiento de los parches de seguridad.

Es por esto que los hackers aficionados tardaron casi seis meses en encontrar un exploit BlueKeep que todavía no es confiable y ni siquiera tiene un componente que sea empotrable en un gusano.

El exploit de BlueKeep extiende malware que pide recompensa.

La explotación de BlueKeep fue especulada por primera vez por Kevin Beaumont, el sábado cuando sus múltiples sistemas de honeypot EternalPot RDP se bloquearon y se reiniciaron repentinamente.

Marcus Hutchins, el investigador que a detener el ya conocido WannaCry ransomware outbreak el 2017, luego analizó los volcados de memoria compartidos por Beaumont y confirmó “artefactos BlueKeep en la memoria y el código de shell para lanzar un Monero Miner (método de pago)”.

En una publicación de blog, Hutchins dijo: “Finalmente, confirmamos que este segmento [en un volcado de memoria] apunta a un shellcode ejecutable. En este punto, podemos afirmar intentos de explotación de BlueKeep válidos, ¡con un shellcode que incluso coincide con el del módulo BlueKeep en Metasploit! “.

El exploit contiene comandos PowerShell como carga inicial, el cual podría descargar el binario con código malicioso de un atacante remoto y ejecutarlo en la maquina objetivo.

Según el servicio Google’s VirusTotal malware scanning, el binario malicioso el binario malicioso es un malware de criptomonedas que extrae Monero (XMR) utilizando la potencia informática de los sistemas infectados para generar ingresos para los atacantes.

Pero esto no es un ataque de gusano

Hutchins confirma que el malware no contiene ninguna extensión con capacidad de saltar de un sistema a otro y también aparecen varios atacantes que primero buscan en internet sistemas vulnerables para luego explotarlos.

En otras palabras, sin un componente que permita al malware pasar de un computador a otro, el atacante está forzado a intentar ataques a sistemas públicos que sean vulnerables, no así a sistemas conectados entre si dentro de una misma red.

Aunque hacker mas experimentados podrían tener exploits para BlueKeep para comprometer sigilosamente a las víctimas, afortunadamente, la falla aún no se ha explotado a mayor escala, como WannaCry o NotPetyaataques maliciosos, como se especuló inicialmente.

De todas formas, de un tiempo hasta esta parte no es claro cuantos sistemas con Windows vulnerables han estado comprometidos en los últimos ataques que piden recompensa por medio de Monero Miner.

¿Que te podemos recomendar para protegerte?

Primero que todo, instalar las actualizaciones o los parches de seguridad que Windows lanzó para tu sistema operativo, estos los puedes descargar en los siguientes links:

Si no es posible solucionar la vulnerabilidad en su organización, puede tomar estas mitigaciones:

  • Deshabilite los servicios RDP, si no es necesario.
  • Bloquee el puerto 3389 utilizando un firewall o hágalo accesible solo a través de una VPN privada.
  • Habilitar la autenticación de nivel de red (NLA): esta es una mitigación parcial para evitar que cualquier atacante no autenticado explote esta falla Wormable.

Referencas:

https://www.bleepingcomputer.com/news/security/windows-bluekeep-rdp-attacks-are-here-infecting-with-miners/

https://thehackernews.com/2019/11/bluekeep-rdp-vulnerability.html

https://www.elespanol.com/omicrono/software/20191104/ciberataque-europa-everis-empresas-bloqueadas-ransomware/441956113_0.html

https://www.elmundo.es/tecnologia/2019/11/04/5dc01412fc6c839d6d8b4658.html

https://www.seguridadyfirewall.cl/2019/11/descubren-ataque-masivo-de-bluekeep.html

https://www.genbeta.com/seguridad/ataques-ransomware-siguen-aumentando-equipos-vulnerables-que-usan-versiones-viejas-windows

https://www.adslzone.net/2019/11/04/bluekeep-ransomware-cadena-ser/