CyberAt Attack en 2023

Contents

Amenazas de ciberseguridad que afectan a las empresas en agosto de 2023

Hacemos que la seguridad sea simple y sin problemas para miles
de sitios web y negocios en todo el mundo.

Ataques cibernéticos recientes – 2023

Nivedita James

Nivedita es un escritor técnico de Astra que tiene un profundo amor por el conocimiento y todo lo curioso en la naturaleza. Un ávido lector de corazón, la encontró llamando a escribir sobre SEO, robótica y actualmente ciberseguridad.

Este sitio usa akismet para reducir el spam. Aprenda cómo se procesan los datos de sus comentarios.

0 comentarios
Comentarios en línea
Ver todos los comentarios

Artículos relacionados

Gestión de vulnerabilidad basada en riesgos

escaneo de vulnerabilidad continua

Equipo rojo vs azul

Psíquica! Hola. Somos Astra.

Hacemos que la seguridad sea simple y sin problemas para miles
de sitios web y negocios en todo el mundo.

Nuestro conjunto de productos de seguridad incluye un escáner de vulnerabilidad, firewall, escáner de malware y pentests para proteger su sitio de las fuerzas malvadas en Internet, incluso cuando duerme.

  • Consigue un pentest
  • Proteja su sitio web

tierra arañas tarjetas insectosarañas

Hacemos la seguridad simple y sin problemas para miles de sitios web y negocios en todo el mundo.

Vea nuestras críticas brillantes en

Femenino

  • Características
  • Web Pentest
  • Móvil Pentest
  • Cloud Pentest
  • Blockchain pentest
  • Red Pentest

Protección del sitio web

  • Características
  • Para agencias
  • Protección de WordPress
  • Protección magento
  • Protección de Prestashop
  • Protección de OpenCart

Compañía

Recursos

  • Blog de seguridad Astra
  • Checker de la lista negra
  • Escáner de sitios web
  • Campleador de spam de SEO
  • Cursos de seguridad

Hecho con ❤️ en

Copyright © 2022 Astra It, Inc. Reservados todos los derechos.

Amenazas de ciberseguridad que afectan a las empresas en agosto de 2023

Amenazas de ciberseguridad que afectan a las empresas en agosto de 2023

Ciberseguridad y forense digital

Las amenazas de ciberseguridad están aumentando rápidamente. Como resultado, los líderes de la compañía deben ser más conscientes de las posibles deficiencias en su estrategia general de seguridad cibernética. Las consultas de caza de amenazas, ofrecidas como parte de los servicios SOC de la tecnología de Marcum, son clave para identificar posibles amenazas en el entorno de una organización.

A continuación se muestran las cuatro amenazas principales que surgieron durante el mes pasado.

Blackbyte 2.0

Los ataques de ransomware son un problema creciente para las organizaciones en todo el mundo, tanto en alcance como en gravedad. El equipo de respuesta a incidentes de Microsoft investigó el reciente BlackByte 2.0 ataques de ransomware, revelando la velocidad alarmante y la naturaleza destructiva de estos huelgas cibernéticas. Los resultados indican que los piratas informáticos pueden ejecutar todo el proceso de ataque, desde obtener acceso inicial a causar daños significativos, en solo cinco días. Se infiltran rápidamente los sistemas, encriptan datos cruciales y exigen un rescate para su liberación. Esta línea de tiempo condensada plantea un desafío significativo para las organizaciones que se esfuerzan por defenderse de estas operaciones maliciosas.

  Μειωτής βιασύνης

El ransomware BlackByte se emplea en la etapa final del ataque, utilizando una clave de número de 8 dígitos para cifrar datos. Los atacantes usan una potente combinación de herramientas y técnicas, aprovechando los servidores de intercambio de Microsoft sin parpadeo para obtener acceso y sentar las bases para sus actividades maliciosas. Proceso de hueco, estrategias de evasión antivirus, conchas web para acceso remoto y balizas de ataque de cobalto para las operaciones de comando y control mejoran aún más sus capacidades, lo que dificulta que las organizaciones defiendan contra ellas. Además, los ciberdelincuentes emplean herramientas de “vida-de la tierra” para camuflar sus actividades y evitar la detección. Modifican copias de sombra de volumen en máquinas infectadas para evitar la recuperación de datos a través de los puntos de restauración del sistema e implementan puertas traseras personalizadas para un acceso persistente incluso después del compromiso inicial.

A medida que los ataques de ransomware se vuelven más frecuentes y sofisticados, los actores de amenaza pueden interrumpir rápidamente las operaciones comerciales si las organizaciones no se preparan adecuadamente. La gravedad de estos ataques requiere una acción inmediata de las organizaciones de todo el mundo, y en respuesta a estos hallazgos, Microsoft proporciona recomendaciones prácticas. Fomenta la implementación de procedimientos de gestión de parches sólidos para aplicar actualizaciones de seguridad críticas temprano. Habilitar la protección de la manipulación también es crucial ya que fortalece las soluciones de seguridad contra los intentos maliciosos de deshabilitarlas o pasarlas por alto. Siguiendo las mejores prácticas, como mantener sistemas actualizados y restringir los privilegios administrativos, las organizaciones pueden mitigar significativamente el riesgo de ataques de ransomware negro y otras amenazas similares.

Campaña de nitrógeno Aprovechando la carga lateral DLL para C2

En una campaña reciente, denominado “nitrógeno”, se vio la carga lateral de DLL para aprovechar las comunicaciones C2. En lugar del vector habitual de Phishing, el ataque comenzó con una descarga de manejo de un sitio web comprometido de WordPress. El archivo, una imagen ISO, contiene un archivo de instalación que debe ser ejecutado manualmente por el usuario final. El instalador luego procede a cargar el MSI.archivo dll y descifra el archivo de datos que lo acompaña. Una distribución de Python incrustada y la DLL se dejan caer para ser resbaladizada en la ruta C: \ Users \ Public \ Music \ Python del usuario.

El malware luego crea una tarea programada: “Tarea de seguridad OneDrive-S-1-5-21-5678566754-9123742832-2638705499-2003“, Que dirige Pythonw.exe. Esto otorga la persistencia de malware. Los horarios de tareas para activar al inicio del sistema y expira el 1 de diciembre de 2029, a la medianoche.

  Desi torrent

Con la persistencia establecida, el malware puede realizar sus deberes. Se ha visto empleando la decisión lateral de DLL para mantener una conexión persistente con los servidores C2, y llega a recuperar datos comprimidos/codificados, y luego ejecutarla localmente.

La huelga de cobalto se observó como una carga útil elegida en un momento, y parece que otros también podrían implementarse. Este malware ciertamente tiene el potencial de causar un gran daño, pero en esta campaña el consolación es que el usuario debe ejecutar manualmente un archivo descargado a través de una descarga de transmisión desde un sitio web comprometido. Sin embargo, esto siempre podría entregarse a través del phishing, que sigue siendo uno de los vectores más comunes debido a su facilidad y efectividad.

Distribución actualizada de malware de Lazarus

Los investigadores han descubierto que Lázaro, un grupo financiado a nivel nacional, está atacando los servidores web del Servicio de Información de Internet de Windows (IIS) y los usa para difundir malware. El grupo es conocido por utilizar técnicas de agujeros de riego para obtener acceso inicial. Cuando un escaneo detecta un servidor con una versión vulnerable, usa la vulnerabilidad adecuada para que la versión instale una webhell, descargue archivos o ejecute comandos. El ataque recientemente identificado mostró que las cepas de malware del grupo de amenazas de Lázaro fueron generadas por W3WP.exe, un proceso de servidor web de IIS. El malware generado por el W3WP.EXE El proceso es USOPRIV.exe, un malware juicypotato lleno de temida.

Las cepas de malware de papa son responsables de la escalada de privilegios. Hay varios tipos apalancados, incluidos juicypotato, rottenpotato y sweetpotato, dependiendo del método de escalada de privilegios. Las cepas de papa aumentan el privilegio al abusar de los procesos con ciertos privilegios activados. Posteriormente, el actor de amenaza puede realizar acciones maliciosas utilizando el privilegio elevado. El comando whoami se usó para verificar si se logró la escalada de privilegios. También se encontró un registro que muestra que se había ejecutado un malware del cargador que es responsable del comportamiento malicioso real. El cargador está en formato DLL, por lo que se usó rundll32 para ejecutarlo. El cargador descifra el nombre del archivo de los datos que se utilizarán y obtienen una cadena. Esta cadena es el nombre del archivo de datos que se busca en un total de tres rutas. El malware del cargador luego descifra los archivos de datos cifrados y los ejecuta en el área de memoria.

  VPN privé ne se connectait pas

El grupo Lázaro también se ha visto utilizando varios otros vectores de ataque para el acceso inicial, como las vulnerabilidades del certificado conjunto y los ataques de la cadena de suministro 3CX. Este es uno de los grupos de amenazas más peligrosos que actualmente operan y es muy activo a nivel mundial. Utilizan continuamente ataques de vulnerabilidad para obtener acceso a sistemas sin partos. Si un sistema no tiene la última versión de un producto vulnerable instalado, entonces la última actualización debe aplicarse de inmediato.

Vulnerabilidades de Microsoft

En la última ronda de actualizaciones, Microsoft ha abordado dos vulnerabilidades de día cero, a saber, CVE-2023-36884 y CVE-2023-38180. Estas vulnerabilidades han sido explotadas activamente por los actores de amenazas y han provocado una acción rápida de Microsoft. La actualización de este mes también cubre soluciones para otras 87 vulnerabilidades, subrayando la importancia de mantenerse atento a posibles amenazas cibernéticas.

CVE-2023-36884, una vulnerabilidad de ejecución de código remoto, fue utilizado por el actor de amenaza ruso Torm-0978/romcom. Este defecto permitió a los atacantes manipular hábilmente los documentos de Microsoft Office para evadir mecanismos de seguridad como la marca de la web (MOTW), lo que les permite ejecutar el código de forma remota. Microsoft ha respondido con una actualización en profundidad de la defensa de la oficina para mitigar este riesgo. Storm-0978/Romcom, anteriormente involucrado en la implementación del ransomware de espía industrial, se ha renombrado recientemente como “subterráneo” y amplió sus actividades para incluir la extorsión de ransomware.

Otra vulnerabilidad preocupante, CVE-2023-38180, también recibió atención en esta actualización. Aunque Microsoft no ha revelado detalles específicos sobre su explotación o la identidad del descubridor, esta vulnerabilidad ha sido abusada activamente y podría conducir a ataques de denegación distribuida de servicio (DDoS) contra .Aplicaciones netas y visual. En particular, este defecto no requiere que el atacante posee privilegios de usuarios en el sistema objetivo, por lo que es una preocupación más severa.

Los expertos en seguridad aconsejan a las organizaciones que tomen medidas rápidas mediante la implementación de las medidas de seguridad recomendadas y aplicando los parches proporcionados. Estas actualizaciones sirven como un recordatorio de las amenazas cibernéticas siempre presentes que requieren esfuerzos consistentes para salvaguardar los sistemas y datos de posibles infracciones.

Si enfrenta desafíos relacionados con las amenazas de ciberseguridad, las infracciones y los malos actores, o está interesado en aprender más sobre la identificación de posibles amenazas a su organización, comuníquese con Marcum Technology Today.