Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Entradas populares

PostHeaderIcon Microsoft Defender utilizará IA para evitar ataques de ransomware




 Microsoft Defender para Endpoint ha añadido una capa basada en IA para proteger y prevenir a usuarios del ransomware.




Microsoft añade a Microsoft Defender for Endpoint protección por IA contra el ransomware

  • Protección adaptativa impulsada por IA
  • Predecir si un dispositivo está en riesgo si, por ejemplo, proporciona conexión acceso remoto

Los ataques de ransomware perpetrados por humanos se pueden caracterizar por un conjunto de métodos y comportamientos. Esta es la premisa utilizada por los investigadores Ruofan Wang y Kelly Kang, del equipo Microsoft 365 Defender Research Team, para desarrollar esta nueva característica. Se trata de un sistema basado en la nube que utiliza técnicas de «machine learning» para predecir si un dispositivo está en riesgo; en cuyo caso bloqueará los siguientes pasos del atacante.


¿Cómo funciona IA?

Esta protección adaptable se basa en el modelo actual de protección en la nube, siendo más inteligente y rápida que esta. Por contextualizar, en el flujo de un ataque no todos los binarios implicados son maliciosos, y los indicadores generados por estos serían vistos de baja prioridad. Añadir una capa extra de protección adaptable por IA permitiría al sistema detectar comportamientos inusuales, aportando tiempo extra a los equipos de respuesta para poder neutralizar ataques.

Si existe riesgo en un dispositivo por encima de cierto umbral, la protección en la nube cambia a bloqueo agresivo. En este modo se podrían llegar a bloquear por precaución ficheros o procesos que bien podrían no ser maliciosos. Al puntuarse y actualizarse el dispositivo en tiempo real, se reduce la agresividad una vez el dispositivo ya no se encuentra en peligro, reduciendo de esta manera los falsos positivos y evitando afectar a la experiencia de usuario.

Hipotéticamente, en ataques donde las actividades de ataque de etapa inicial a intermedia no se detectan ni bloquean, la protección adaptativa impulsada por inteligencia artificial puede demostrar un gran valor cuando se llega la payload definitiva del ransomware.

Esta característica de IA adaptativa para detección temprana de ransomware se encuentra disponible para clientes de Microsoft Defender para Endpoint que dispongan de la protección basada en la nube activada.

Más información:
AI-driven adaptive protection against human-operated ransomware
Microsoft Defender is getting AI-powered anti-ransomware protection

Ransomware se convierte en WinRAR si no consigue cifrar


 

El ransomware Memento se convierte en WinRAR y bloquea los ficheros con contraseña para evitar ser detectado por el antivirus. Un nuevo tipo de ransomware escrito en Python 3.9.

Utiliza una versión freeware de WinRAR para cifrar los ficheros a un nuevo fichero con contraseña, después cifrar dicha clave y finalmente eliminar los ficheros originales.

Para su instalación este malware utiliza PyInstaller, una forma de crear paquetes multiplataforma en Python. No obstante, la amenaza se encuentra dirigida a equipos Windows, usando herramientas adicionales del repositorio Impacket como wmiexec para disponer de una shell remota o secretsdump para obtener credenciales.


Vector de ataque

  • Memento cambia a WinRAR si no puede cifrar
  • Aprovecha vulnerabilidad en VMWare vCenter
Aprovecha la vulnerabilidad en el cliente web VMware vCenter Server para el acceso inicial a las redes de las víctimas. Este fallo de seguridad fue registrado como CVE-2021-21971 y es un error de ejecución de código remoto no autenticado. Fue calificado con 9,8 puntos por su peligrosidad.

El tema  es que Memento es capaz de cambiar a WinRAR para cifrar los archivos. Si el antivirus del sistema detecta el ransomware, lo que hace es meter los archivos dentro de una carpeta cifrada con una contraseña e impedir así el acceso. Igualmente va a pedir un rescate económico a cambio, como suele ocurrir con este tipo de amenazas de seguridad.

Fuentes:
https://unaaldia.hispasec.com/2021/11/microsoft-defender-utilizara-ia-para-prevenir-ransomware.html


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.