Esta semana en ciberseguridad – Octubre semana 3

Esta semana en ciberseguridad, nos ha llamado la atención 3 noticias que ahora te presentamos:

Las Principales familias de Ransomware

Según ha revelado un análisis exhaustivo de 80 millones de muestras relacionadas con ransomware realizado por VirusTotal, se han descubierto que, en 2020, hubo hasta 130 familias diferentes de ransomware activas y la primera mitad de 2021, con Israel, Corea del Sur, Vietnam, China, Singapur, India, Kazajstán, Filipinas, Irán y el Reino Unido emergiendo como los más afectados.

VirusTotal, atribuyó una parte significativa de la actividad al grupo de ransomware como servicio (RaaS) GandCrab (78,5%), seguido de Babuk (7,61%), Cerber (3,11%), Matsnu (2,63%), Wannacry (2,41%), Congur (1,52%), Locky (1,29%), Teslacrypt (1,12%), Rkor (1,11%) y Reveon (0,70%).

“Los atacantes están utilizando una variedad de enfoques, incluido las botnet y otros troyanos de acceso remoto (RAT) como vehículos para entregar su ransomware”…. “En la mayoría de los casos, utilizan muestras de ransomware nuevas o nuevas para sus campañas”.

dijo Vicente Díaz, de VirusTotal Threat Intelligence.

Algunos de los otros puntos clave descubiertos en el estudio son los siguientes:

  • GandCrab representó la mayor parte de la actividad de ransomware en los dos primeros trimestres de 2020, y la familia de ransomware Babuk generó un aumento de infecciones en julio de 2021.
  • El 95% de los archivos de ransomware detectados eran ejecutables basados​​en Windows o bibliotecas de vínculos dinámicos (DLL), mientras que el 2% estaban basados ​​en Android.
  • Alrededor del 5% de las muestras analizadas se asociaron con exploits relacionados con la elevación de privilegios de Windows, la divulgación de información de SMB y la ejecución remota.
  • Emotet, Zbot, Dridex, Gozi y Danabot fueron los principales artefactos de malware utilizados para distribuir ransomware.

Los hallazgos se producen a raíz de una ola implacable de ataques de ransomware dirigidos a la infraestructura crítica, con bandas de ciberdelincuentes que persiguen agresivamente a las víctimas en sectores críticos, incluidos los operadores de oleoductos e instalaciones de atención médica, incluso cuando el panorama ha sido testigo de un cambio continuo en el que los grupos de ransomware evolucionan, se dividen, se reorganizan con nuevos nombres, o desaparecer del radar para evadir el escrutinio.

En todo caso, la explosión de nuevas familias de malware ha atraído a nuevos actores a participar en estos lucrativos esquemas, convirtiendo el ransomware en un modelo de negocio criminal rentable.

“Si bien las grandes campañas van y vienen, existe una línea de base constante de actividad de ransomware de aproximadamente 100 familias de ransomware que nunca se detiene”, dice el informe. “En términos de distribución de ransomware, los atacantes no parecen necesitar exploits más que para la escalada de privilegios y la propagación de malware dentro de las redes internas”.

FUENTE: https://blog.segu-info.com.ar/2021/10/reporte-de-familias-activas-de.html

FreakOut Botnet convierte los DVR en criptomineros de Monero

El nuevo exploit Necro Python se dirige a los DVR de visual Tools que se utilizan en los sistemas de vigilancia. El botnet del grupo de amenazas FreakOut infecta los DVR y los transforma en criptomineros de Monero.

Los investigadores de Juniper Threat Labs han publicado un informe que detalla las nuevas actividades de FreakOut, también conocido como Necro Python y Python.IRCBot. A fines de septiembre, el equipo notó que las botnets comenzaron a apuntar a los modelos Visual Tools DVR VX16 4.2.28.0 con ataques de criptominería. Los dispositivos generalmente se implementan como parte de un sistema de vigilancia de calidad profesional.

“El script puede ejecutarse tanto en entornos Windows como Linux”, .. “El script tiene su propio motor polimórfico para transformar cada ejecución que puede eludir las defensas basadas en firmas. Esto funciona leyendo cada cadena de su código y cifrándola con una clave codificada “.

dijo el informe de Juniper

FreakOut ha estado en escena desde al menos enero, explotando vulnerabilidades identificadas recientemente y sin parchear para lanzar ataques distribuidos de denegación de servicio (DDoS) y criptominería. Juniper informa que los actores de amenazas han desarrollado varias iteraciones del bot Necro, logrando mejoras constantes en su rendimiento y persistencia durante los últimos meses.

La nueva funcionalidad DGA ayuda a evadir la detección
El nuevo exploit aún no se ha evaluado por completo para un CVE, según NIST, pero hay una prueba de concepto disponible a través de la base de datos de exploits.

Primero, el bot Necro busca el puerto de destino: [22, 80, 443, 8081, 8081, 7001]. Si se detecta, lanzará un XMRig, que es un minero Monero (XMR) de alto rendimiento, vinculado a esta billetera:

El equipo agregó que el bot también está intentando activamente explotar estas vulnerabilidades previamente identificadas:

  • CVE-2020-15568 – TerraMaster TOS antes de 4.1.29
  • CVE-2021-2900 – Genexis PLATINUM 4410 2.1 P4410-V2-1.28
  • CVE-2020-25494 – Xinuos (anteriormente SCO) Openserver v5 y v6
  • CVE-2020-28188 – TerraMaster TOS <= 4.2.06
  • CVE-2019-12725: Zeroshell 3.9.0

FUENTE: https://threatpost.com/freakout-botnet-dvrs-monero-cryptominers/175467/

Herramientas que pueden ayudar con los Controles de Seguridad de CIS

Este mes de octubre, mes de la Ciberseguridad, te presentamos un conjunto de herramientas que te pueden ayudar a cumplir con los controles de CIS V.7.1.

La idea es que todos los días estaremos posteando un CIS Control V7.1 y te indicaremos algunas herramientas que están dedicadas o que te pueden ayudar a llevar de mejor forma el control.

Esta semana llego hasta el control CIS #7.  Protecciones de correo electrónico y navegador web

Te dejamos el link en la fuente.

FUENTE: https://bit.ly/3vhBdvt