“MACHETE” el grupo secreto de hackers que roba GBs de archivos confidenciales al ejercito venezolano

Investigadores de la empresa de ciberseguridad “ESET” descubrieron una campaña especifica de ciber espionaje, cuyo propósito es robar documentos confidenciales de las Fuerzas Armadas venezolanas.

Ellos extraen archivos de tipo especializados utilizados por el software de sistemas de información geográfica (GIS)”, dijo Matias Porolli investigador de ESET.

Los atacantes se interesan específicamente en archivos que describen rutas de navegación y posicionamiento utilizando cuadrículas militares”.

Alrededor de un 75% de las infecciones de estos virus operados por Machete, están ubicados en Venezuela, esto junto a otras víctimas repartidas por Ecuador, Colombia y Nicaragua.

La primera documentación existente fue realizada por Kaspersky en 2014, el grupo “Machete ” esta activo desde el año 2010, enfocado en varios objetivos dentro de Latinoamérica. Pero al comienzo del 2019, ESET dijo que se ha centrado principalmente en sus esfuerzos de piratería en Venezuela.

Los investigadores encontraron mas de 50 computadores infectados que se comunicaban a través de servidores command-and-control (C&C), en el periodo que abarca entre Marzo y Mayo del año 2019. Esto es para implementar cambios rutinarios de malware en su infraestructura para frustrar la detección y modificar las campañas de phishing.

El modus-operandi

El grupo de espionaje utiliza una técnica más que probada, esto es enviando correos con archivos maliciosos (phishing).

Para atraerlos a abrir los correos electrónicos, el grupo utiliza inteligentemente documentos militares clasificados previamente robados, incluidos radiogramas, el formato ampliamente utilizado por las organizaciones militares para transmitir mensajes. Además, los atacantes aprovechan su conocimiento de la jerga militar y la etiqueta para elaborar correos electrónicos de phishing convincentes.

Una vez abierto el documento señuelo, infecta el dispositivo del objetivo con un virus de backdoor. ESET dijo que el malware (codificado en Python), es una nueva versión que se vio por primera vez hace un año.

El virus incluye persistentemente un componente espía que se ejecuta indefinidamente en segundo plano, copiando y encriptando documentos, tomando capturas de pantalla y actuando como keylogger. También se comunica con el servidor de C&C cada 10 minutos para enviar los datos robados y enmascarar su verdadera intención al nombrar sus archivos como “Google” (GoogleCrash.exe y GoogleUpdate.exe).

ESET dijo que la campaña de phishing todavía está activa hasta el día de hoy, y que los piratas informáticos han extraído con éxito gigabytes de documentos confidenciales cada semana.

¿”Machete” Quienes son?

ESET a encontrado varias instancias de palabras en español en el código de malware, con los registros generados al capturar las pulsaciones de teclas y los datos escritos del portapapeles en el mismo idioma. Esto sugiere que han sido desarrollados por un grupo de habla hispana.

Divulgaciones públicas anteriores de Kaspersky y Cylance (que fue adquirida por BlackBerry a principios de este año) se han hecho eco de hallazgos similares, pero los detalles sobre su identidad exacta siguen siendo desconocidos

El grupo detrás de Machete ha logrado continuar operando incluso después de que los investigadores hayan publicado descripciones técnicas e indicadores de compromiso para este malware“, concluyeron los investigadores de ESET. “Sin embargo, son las organizaciones seleccionadas las que han fallado en crear conciencia y aplicar políticas de seguridad para que los empleados no caigan en estos ataques en primer lugar“.

Referencias:

https://www.abc.es/tecnologia/informatica/software/abci-machete-virus-esta-robando-informacion-militar-venezuela-nicolas-maduro-201908051130_noticia.html

https://www.welivesecurity.com/2019/08/05/sharpening-machete-cyberespionage/

https://www.welivesecurity.com/wp-content/uploads/2019/08/ESET_Machete.pdf

https://thenextweb.com/security/2019/08/06/secretive-machete-hacker-group-steals-gbs-worth-of-sensitive-files-from-the-venezuelan-military/

https://unaaldia.hispasec.com/2019/08/machete-el-how-to-del-malware-que-ha-puesto-en-jaque-al-ejercito-de-venezuela.html

KDE Desktop de Linux podría ser hackeado solo bajando un archivo, sin la necesidad de abrirlo

Si estas corriendo el escritorio KDE de linux tienes que ser extremadamente cuidadoso de no descargar ningún archivos “.desktop” o “.directory” por algún tiempo.

Un investigador de ciberseguridad ha revelado una vulnerabilidad zero-day sin parches en el framework de KDE, que podría permitir que los archivos .desktop y .directory creados de forma malintencionada, ejecuten silenciosamente código arbitrario en la computador de un usuario, sin siquiera requerir que la víctima lo abra realmente.

KDE Plasma es uno de los mas populares ambientes de escritorio open-source widget-based para usuarios de Linux y viene por defecto en varias distribuciones de este sistema operativo, como en Manjaro, openSUSE, Kubuntu y PCLinuxOS.

Dominik Penner el investigador que hizo el descubrimiento, se contactó con The Hacker News para informar de una vulnerabilidad de inyección de comandos en el escritorio de KDE 4/5 Plasma, esto debido a la forma en que KDE maneja los archivos .desktop y .directory. 

Cuando se crea una instancia de un archivo .desktop o .directory, evalúa de forma insegura las variables de entorno y las expansiones de shell utilizando KConfigPrivate :: expandString () a través de la función KConfigGroup :: readEntry ()” , Dijo Dominik Penner.

Sacándole partido a esta falla, afectando al paquete 5.60.0 o versiones anteriores del KDE Frameworks, es simple e implica algo de ingeniería social ya que un atacante necesitaría engañar al usuario de KDE para que descargue un archivo que contenga un archivo malicioso .desktop o .directory.

Usando un archivo .desktop especialmente diseñado, un usuario remoto podría verse comprometido simplemente descargando y visualizando el archivo en su administrador de archivos, o arrastrando y soltando un enlace en sus documentos o escritorio“.

Teóricamente, si podemos controlar las entradas de configuración y activar su lectura, podemos lograr la inyección de comandos / RCE“, explicó Penner.

En la prueba de concepto, Penner publicó 2 videos demostrando el ataque exitoso al KDE KDesktopFile Command Injection vulnerability, todo esto junto al respectivo código para explotar esta vulnerabilidad.

Aparentemente, esta publicación se realizó antes de ser reportada a los desarrolladores de KDE, la KDE Community reconoció esta vulnerabilidad y aseguró que la solución ya viene en camino.

Además, si descubre una vulnerabilidad similar, es mejor enviar un correo electrónico security@kde.org antes de hacerlo público. Esto nos dará tiempo para parchearlo y mantener a los usuarios seguros antes de que los malos intenten explotarlo” anunció la KDE Community.

Mientras tanto, los desarrolladores de KDE recomendaron a los usuarios que simplemente “eviten descargar archivos .desktop o .directory y extraer archivos de fuentes no confiables” durante un tiempo hasta que se repare la vulnerabilidad.

Referencias:

https://mastodon.technology/@kde/102571278750266664 https://securityaffairs.co/wordpress/89527/hacking/kde-zero-day-vulnerability.html

https://www.zdnet.com/article/unpatched-kde-vulnerability-disclosed-on-twitter/

Descubren una vulnerabilidad en KDE Plasma fácil de explotar

https://thehackernews.com/2019/08/kde-desktop-linux-vulnerability.html?m=1

https://www.cvedetails.com/vulnerability-list/vendor_id-77/KDE.html

Información electoral del 80% de la población en Chile son expuestos por internet

La autenticidad de los datos fue confirmada por el SERVEL

La información de poco mas de 14 millones de chilenos habilitados para votar, fue expuesta y filtrada en internet desde una base de datos de Elasticsearch.

Según ZDNet, el servidor fue hallado por un miembro del equipo de investigación Wizcase, quienes le entregaron la IP del servidor involucrado al periodista de ese medio la semana pasada, con tal de identificar la naturaleza y fuente de la filtración.

Continuar leyendo

7.5 TB de datos son robados al servicio de inteligencia de Rusia

La BBC de Londres en Rusia, informó que los servicios de inteligencia rusos fueron víctimas de uno de los más grandes ciberataques de su historia. Un grupo de cibercriminales llamado “0v1ru$” ha conseguido provocar una brecha masiva en SyTech, un contratista de la FSB (Servicio Federal de Seguridad Ruso).

El ataque de 0v1ru$ fue realizado el día 13 de Julio, y una vez teniendo acceso a la información, robaron 7.5 TB de datos desde la red de SyTech.

Continuar leyendo

Facebook lanza una herramienta en Reino Unido para reprimir los anuncios fraudulentos

La firma de medios sociales investigará las quejas de los usuarios y eliminará las publicaciones maliciosas

La compañía de medios sociales está lanzando una herramienta contra anuncios fraudulentos, con un equipo especialmente capacitado que investiga las alertas generadas por los usuarios, revisando los informes y eliminando las publicaciones infractoras para reprimir anuncios potencialmente engañosos.

Los anuncios fraudulentos a menudo usan imágenes de celebridades falsas o respaldos para engañar a las personas para que compren productos y servicios falsos, como planes de comercio de bitcoins y píldoras de dieta.

Martin Lewis fundador y editor en jefe de MoneySavingExpert.com, presentó una demanda contra Facebook en enero después de que la red social acordara crear una herramienta de informes y donar 3 millones de libras ($2.560.000.000.- de pesos chilenos aproximadamente) a Citizens Advice para un proyecto anti-estafa.
El dedicado servicio de estafas en línea de Citizens Advice, llamado Scams Action, brindará apoyo individual a aquellos que estén preocupados de que hayan sido estafados.
Lewis anunció previamente su intención de demandar a Facebook por difamación a título personal en una demanda innovadora después de la aparición de varios anuncios de estafa que mostraban su foto.

“El Reino Unido se enfrenta a una epidemia de anuncios de estafa en línea, están en todas partes”, dijo Lewis. “Sin embargo, desgraciadamente, hay poca ley o regulación efectiva para prevenirlos, y la aplicación oficial es inexistente, ya que estos delincuentes generalmente tienen su sede fuera de la UE.
“Es por eso que demandé por difamación, extrañamente la única ley que pude encontrar para tratar de hacer que las grandes empresas de tecnología entiendan el daño que ha causado su comportamiento negligente. “
Steve Hatch, el vicepresidente para el norte de Europa en Facebook, dijo que los anuncios de estafa eran un problema en toda la industria causado por delincuentes y que “no tienen lugar en Facebook”. “A través de nuestro trabajo con Martin Lewis, tomamos una posición líder en el mercado y nuestra nueva herramienta de informes y nuestro equipo dedicado son pasos importantes para detener el uso indebido de nuestra plataforma”, dijo.
“La prevención también es clave. Nuestra donación de 3 millones de libras a Citizens Advice no solo ayudará a aquellos que han sido afectados por estafadores, sino que también creará conciencia sobre cómo evitar estafas.
“A nivel global, hemos triplicado el tamaño de nuestro equipo de seguridad y protección a 30,000 personas y continuamos invirtiendo fuertemente en la eliminación de contenido inadecuado de nuestra plataforma”.

Esto ocurre no solo en europa si no que a nivel global, Chile no esta exento de esto, por lo que no me cabe duda alguna de que has visto en Google y/o Facebook la publicidad de cómo “Zamorano recuperó todo su dinero” o cosas de ese estilo.
Ahora, al menos en la red social de Zuckerberg esto no debería ser un problema mayor. Según informa Cooperativa, Facebook emitió las siguientes palabras:
No permitimos anuncios con contenido engañoso ni falso en nuestra plataforma. Por eso removimos el anuncio reportado y una página asociada, que violaban nuestras políticas, apenas tomamos conocimiento de su existencia.
La misma asociación tras estos anuncios, que invitan a darles bitcoins a cambio de nada, aprovechándose del desconocimiento de la gente, había usado a celebridades como Anita Alvarado y últimamente la del ministro de Hacienda Felipe Larraín.

Recomendaciones contra fraude:

Si te encuentras con la promoción de una marca conocida en las redes sociales, te aconsejamos comprobar si existe en el perfil de la empresa en Facebook o Twitter.
También prestarle atención al URL de la página web a la que remite la promoción, sobre todo si está acortado, y desconfiar de los errores ortográficos.
Pero por sobre todo, desconfía siempre de los que te pidan dinero.

Por su parte, Norton, la división de antivirus de la empresa de seguridad en internet Symantec, recomienda no incluir información personal como el correo electrónico o el número de teléfono al crear o actualizar el perfil en una red social.
Asimismo, los expertos en seguridad de internet señalan que deberías tener cuidado con los correos que advierten del cierre de cuentas de Facebook o Hotmail; con los que informan de la muerte de algún personaje famoso; con las solicitudes de donaciones; y con cualquier enlace que te pide confirmar tu cuenta agregando tu usuario y contraseña.
Esto te ayudará a no sucumbir a estos fraudes en internet.

Referencias:

https://www.theguardian.com/technology/2019/jul/16/facebook-launches-uk-reporting-tool-to-clamp-down-on-scam-ads-martin-lewis
https://www.fayerwayer.com/2019/04/facebook-estafa-bitcoin-zamorano/
https://www.soychile.cl/Santiago/Espectaculos/2019/04/18/591556/Una-masiva-estafa-complica-a-reconocidas-figuras-de-TV.aspx
https://www.bbva.com/es/estafas-mas-comunes-facebook-protegerse-ellas/
https://www.bbc.com/mundo/video_fotos/2015/09/150915_tecnologia_estafas_redes_sociales_lv
https://mundohispanico.com/los-estafadores-estan-usando-facebook-para-robar/
https://computerhoy.com/listas/internet/10-estafas-mas-repetidas-facebook-13305?page=9

Más de la mitad de los equipos de las PYME están ejecutando Software obsoleto

La mayor parte de los equipos de negocios en las pequeña y mediana empresa están ejecutando Sistemas Operativos de Microsoft prontos a perder soporte o sin soporte en absoluto.

Un estudio de la empresa Alert Logic ha demostrado esta debilidad en negocios de pequeño a mediano tamaño, incluyendo la dependencia a los sistemas operativos Microsoft y su servidor de correo Exchange 2000 (fuera de soporte), problemas de configuración en cifrado y baja cadencia de parchado.

Esta información demuestra la vulnerabilidad de las PYME en relación a la ciberseguridad de hoy.

Cerca de un 66% de los dispositivos en la muestra ejecutan versiones de Windows que se encuentran obsoletas o serán declaradas obsoletas en 6 meses más, siendo todas éstas de una antigüedad mayor a 10 años.

Microsoft eliminará el soporte a Windows 7 y Windows Server 2008 el 14 de enero de 2020.

Alert Logic recomienda que los profesionales de seguridad en las PYME tomen consciencia y lean comprensivamente este reporte para luego presentar esta situación a sus gerencias, y hacerles entender de la importancia de realizar una inversión en seguridad.

Mala configuración del cifrado

De acuerdo a este reporte, el 42% de las fallas de seguridad de las PYMES están relacionadas a la encriptación. Aún cuando el parchado ayuda a reducir la cantidad de vulnerabilidades, los problemas de configuración siguen siendo un punto importante. Esto incluye la configuración de la encriptación por SSL, servicios cloud como por ejemplo Amazon S3, un control deficiente de las credenciales otorgadas a sus empleados.

Baja frecuencia de parchado

75% de las vulnerabilidades sin parchar en las PYME tienen mas de un año de antigüedad. Aunque el parchado automatizado ha mejorado su frecuencia, existen organizaciones que aún tienen dificultades para mantener sus sistemas con este tipo de protección al día.

Dependencia de servidores de correo antiguos

Más de un 30% de los servidores de correo en las PYME opera mediante un software sin soporte. A pesar de que el correo electrónico es un elemento vital en prácticamente todas las compañías, casi un tercio de los servidores detectados se encuentran ejecutando Exchange 2000, el cual Microsoft dejó de soportar hace unos 10 años atrás.

Existen 4 pasos prácticos que las PYME pueden tomar para disminuir las ocurrencias de un evento de seguridad:
1.- Asegurarse que los Sistemas Operativos y el Software sean vigentes
2.- Parchar regularmente
3.- Descargar todas las actualizaciones
4.- Utilizar alguna forma de 2do factor de autenticación

Las PYME, debido a que el enfoque en la ciberseguridad no es muy considerado, son víctimas potenciales y frecuentes de las amenazas con mayor distribución: ransomware y phishing.

Para estos efectos, Sophos unos de los referentes del mercado dispone de las mejores soluciones, uno de estas es Sophos Phish Threat, una plataforma donde es posible generar y monitorear el comportamiento ante el phishing dentro de una organización, de esta manera es posible entrenar a las personas contra estas vulnerabilidades y generar estadísticas de comportamiento.

Contra ransomware existe Intercept X que combina la protección contra malware y exploits mejor valorada del mercado con la detección y respuesta para endpoints (EDR) integradas, no es un antivirus que trabaje con firmas de archivos, lo hace a travez del comportamiento (IA), que lo hace sumamente efectivo ante amenazas avanzadas.

Fuentes:

https://www.darkreading.com/endpoint/more-than-half-of-smb-devices-run-outdated-operating-systems/d/d-id/1335142
https://www.darkreading.com/vulnerabilities—threats/9-smb-security-trends/d/d-id/1332194
https://www.darkreading.com/cloud/small-businesses-turn-to-managed-service-providers-for-security/d/d-id/1334259
https://www.techrepublic.com/article/the-top-10-security-challenges-smbs-face/
https://www.channelfutures.com/mssp-insider/alert-logic-smb-cybersecurity-weakness-prompts-more-attacks

Magecart infecta 17.000 sitios debido a la mala configuración de Buckets S3 de AWS

cyware.com

Un nuevo ataque mediante cadena de suministro fue detectado por investigadores de ciberseguridad. Los hackers especializados en tarjetas de pago atacaron a más de 17.000 dominios web, incluidos los 2.000 sitios mas visitados mediante Alexa.

Ya que Magecart no es un grupo de criminales específicos ni un malware, se les denomina a todos aquellos cibercriminales que inyectan skimmers digitales en sitios web comprometidos, sin requerir que todos utilicen técnicas ni sofisticación similares.

El reporte indica que los atacantes utilizaron un enfoque llamado “shotgun” (escopeta), en el cual atacaron un amplio rango de sitios, privilegiando la cantidad de infecciones en vez de concentrarse en objetivos específicos.

Hace unos meses, investigadores de seguridad de RiskIQ descubrieron estos ataques mediante cadena de suministro que involucraba los skimmers digitales de tarjetas de crédito. Sin embargo, luego del monitoreo constante de estas actividades, estos investigadores encontraron que el alcance real de esta campaña es mucho mayor a la reportada previamente.

Hackers de Magecart apuntaron a los repositorios AWS S3 mal configurados

Según los investigadores, desde el inicio de la campaña, este grupo de atacantes ha estado analizando continuamente los repositorios S3 de Amazon en busca de los que están mal configurados, los que permiten que cualquiera vea y edite los archivos que contiene, e inyectando de esta forma su código de skimmer al final de cada archivo JavaScript que encontraron.

Ya que los atacantes no siempre saben si estos archivos son utilizados activamente en los sitios, este método es similar a disparar en la oscuridad, esperando alcanzar algún objetivo entre los repositorios infectados. Muchos de los archivos JavaScript infectados ni siquiera tienen relación a métodos de pago.

El código inyectado tiene un ofuscamiento bastante fuerte:

Código ofuscado
Código sin ofuscar

Mientras tanto, un reporte distinto emitido por el equipo de investigación de Zscaler ThreatLabZ, entrega detalles de una campana recientemente descubierta de Magecart, en la cual los atacantes estuvieron utilizando un enfoque mas sofisticado y dirigido para robar los datos de las tarjetas de crédito de sitios de e-commerce.

De acuerdo al reporte, en vez de utilizar código de skimmer digital mediante JavaScript, el grupo fue detectado utilizando una versión muy ofuscada de su skimmer, la cual utiliza cargas encriptadas en un intento de que sea más difícil detectar cuales sitios estarían comprometidos.

Entre los ataques con Magecart mas conocidos se encuentran los casos de British Airways, Ticketmaster y Newegg. Las multas en el caso de British Airways ascienden a 183 millones de libras esterlinas.

Fuentes:
https://thehackernews.com/2019/07/magecart-amazon-s3-hacking.html
https://www.zdnet.com/article/new-magecart-attacks-leverage-misconfigured-s3-buckets-to-infect-over-17k-sites/
https://www.riskiq.com/blog/labs/magecart-amazon-s3-buckets/
https://www.helpnetsecurity.com/2019/07/11/magecart-unsecured-s3-buckets/
https://unaaldia.hispasec.com/2019/07/magecart-golpea-de-nuevo-amazon-s3-como-vector-de-ataque-contra-17-000-webs.html
https://www.wired.com/story/magecart-amazon-cloud-hacks/

Ciberataque llega hasta sala de control de la NASA

El laboratorio de propulsión a reacción (Jet Propulsion Lab, o JBL) de la NASA, es capaz de enviar cohetes con robots autómatas que desempeñen misiones de exploración en el planeta Marte, una misión de alta complejidad. Sin embargo al parecer sus medida de ciberseguridad no son tan sofisticadas.

Una revelación reciente indica que en 2018 un incidente de seguridad afectó a los sistemas de control de misión, evitando múltiples controles de seguridad TI y exponiendo sistemas y datos de la NASA.

En esa oportunidad los atacantes apuntaron a un dispositivo Raspberry Pi que estaba conectado a la red del JPL sin autorización, explotarla, y luego tomar ventaja de la falta de segmentación de la red interna para encontrar otro nodo que les permitiese ingresar a niveles más profundos de la red. Uno de los niveles afectados contiene sistemas que son utilizados en el control de misiones de vuelo espacial tripuladas por humanos.


Como resultado de este ciberataque, oficiales de seguridad TI del centro espacial Johnson, el cual maneja programas como el vehículo multipropósito Orion y la Estación Espacial Internacional, decidieron desconectar este centro de la red corporativa temporalmente.

Uno de los administradores de sistemas declaró que no ingresan regularmente los nuevos activos dentro de la base de datos de seguridad TI, debido a que la función de actualización de la base de datos a menudo no funciona y luego olvidan ingresar los datos del nuevo activo manualmente.

El impacto en la apreciación de seguridad del centro espacial Johnson fue tan significativo, que fueron aproximadamente 6 meses en los que estuvieron desconectados del DNS.

También agregaron que las vulnerabilidades, aún cuando son detectadas, demoran más de 180 días en ser resueltas.

En este incidente quedan expuestas diversas fallas de seguridad que combinadas pueden conllevar a un desastre, inclusive con costo de vidas humanas. Lo que refuerza el concepto de mantener la seguridad TI en un nivel actualizado ya sea técnicamente como en procedimientos y políticas.

Fuentes:

https://hothardware.com/news/raspberry-pi-was-in-cyberattack-nasas-jpl-network

https://www.forbes.com/sites/daveywinder/2019/06/20/confirmed-nasa-has-been-hacked/#7d77764cdc62

https://www.theregister.co.uk/2019/06/19/nasa_jpl_oig_report_cybersecurity/

DHS (EEUU) urge por parchar vulnerabilidad de Windows: BlueKeep

La agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) del Departamento de Seguridad de la Patria (DHS) de Estados Unidos ha emitido una alerta pública acerca de una vulnerabilidad crítica. Han comunicado explícitamente “actualizar ahora”, sumándose así a la Agencia Nacional de Seguridad (NSA) y a Microsoft en advertir los peligros de la vulnerabilidad BlueKeep (CVE-2019-0708).

Expertos de seguridad pronostican que es sólo cuestión de tiempo, unas cuantas semanas para ser más explícitos, para que los cibercriminales utilicen esta vulnerabilidad como una arma, lo que clasificaría a BlueKeep como una bomba de tiempo cuyo impacto podrían ser similar al que tuvo en su momento el aún célebre WannaCry.

La alerta del CISA confirma este peligro, indicando además de que han determinado que Windows 2000 también es vulnerable a BlueKeep, lo que aumenta la superficie de ataque potencial de un exploit de esta vulnerabilidad.


Investigaciones revelan que poco menos de un millón de máquinas visibles a internet son vulnerables a BlueKeep en el puerto 3389, sirviendo de punto de entrada a cualquier gusano que pueda infectarlos e iniciar un movimiento lateral dentro de su red interna. 

Cabe mencionar que Microsoft ha publicado parches para BlueKeep inclusive para algunos de sus sistemas operativos fuera de soporte (EOL).

BlueKeep impacta los servicios de escritorio remoto en Windows y puede ser explotado al enviar paquetes específicos al objetivo. Es posible utilizarla en un contexto de malware tipo gusano.

El sitio oficial de Microsoft relacionado con esta vulnerabilidad es https://support.microsoft.com/es-cl/help/4500705/customer-guidance-for-cve-2019-0708

Fuentes:

https://www.forbes.com/sites/daveywinder/2019/06/18/u-s-government-announces-critical-warning-for-microsoft-windows-users/#2dd952652d29

https://www.securityweek.com/dhs-issues-alert-windows-bluekeep-vulnerability

https://www.zdnet.com/article/homeland-security-weve-tested-windows-bluekeep-attack-and-it-works-so-patch-now/

Rootkit infecta a mas de 50.000 servidores MS-SQL y PHPMyAdmin

En una campaña que investigados apodaron como Nansh0u, un grupo de cibercriminales utilizando un estilo de ataque de tipo APT, ha afectado aproximadamente 50.000 servidores, instalando un rootkit bastante sofisticado, el cual en modo kernel evita que este malware sea finalizado.
La campaña, que se remonta al 26 de febrero pero fue detectada por primera vez a principios de abril, se ha encontrado que ofrece 20 versiones diferentes de carga útil alojadas en varios proveedores de alojamiento.
El ataque se basa en la técnica de fuerza bruta después de encontrar servidores MS-SQL y PHPMyAdmin de acceso público mediante un simple escáner de puertos.
Luego de una autenticación de inicio de sesión exitosa con privilegios administrativos, los atacantes ejecutan una secuencia de comandos MS-SQL en el sistema comprometido para descargar la carga útil malintencionada desde un servidor de archivos remoto y ejecutarlo con privilegios de SISTEMA.
En el fondo, la carga útil aprovecha una vulnerabilidad conocida de escalada de privilegios (CVE-2014-4113) para obtener privilegios de SISTEMA en los sistemas comprometidos.
La carga útil luego instala un malware de minería de criptomoneda en servidores comprometidos para extraer la criptomoneda de TurtleCoin .
Además de esto, el malware también protege su proceso de la terminación mediante el uso de un rootkit de modo de kernel firmado digitalmente para la persistencia.

Los investigadores también han publicado una lista completa de IoC (indicadores de compromiso) y un script gratuito basado en PowerShell que los administradores de Windows pueden usar para verificar si sus sistemas están infectados o no.
Como el ataque se basa en una combinación de nombre de usuario y contraseña débiles para los servidores MS-SQL y PHPMyAdmin, se recomienda a los administradores que siempre mantengan una contraseña sólida y compleja para sus cuentas.
Prevención y remediación.
Fuentes: