Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1024
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
▼
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
▼
febrero
(Total:
75
)
- Lapsus$ filtra un torrent con casi 19GB de informa...
- Grupo sudamericano Lapsus hackea nVidia y roba 1TB...
- El ejército de Ucrania pide a los ciudadanos que t...
- Elon Musk activa servicio internet por satélite co...
- La restauración de fábrica de Windows 11 deja arc...
- Google está modificando por primera vez su página ...
- Algunos SSD NVMe pueden perder datos cuando se va ...
- Rusia ataca de nuevo con malware destructivo (Herm...
- La descarga de una película pirata con malware pro...
- Eurolink: 6 mil millones de € de la Unión Europea ...
- Alternativas a los sistemas operativos Windows, Ma...
- Arrancar en modo seguro en Windows 11
- Sistemas vulnerables para practicar legalmente ata...
- Linux es más rápido que Apple o Microsoft en corre...
- Windows 11 dejará de admitir los cifrados inseguro...
- Xenomorph es un nuevo malware para Android capaz d...
- Google Drive bloquea por error archivos .DS__Store...
- NAS ASUSTOR afectado por ataques del ransomware De...
- Instalar un firmware no oficial en un router neutr...
- Vulnerabilidad de validación de entrada datos numé...
- Unredacter es una herramienta gratuita para recupe...
- Deja sin Internet a todo un barrio para evitar que...
- Aceptar Cookies automáticamente y evitar mensajes ...
- EE.UU. dice que Rusos atacaron contratistas americ...
- Introducción al Sandbox de Privacidad de Android
- Ficheros /etc/passwd /etc/shadow y /etc/group en G...
- Google presenta Chrome OS Flex, un nuevo sistema o...
- Envían 1TB en 1 segundo a 1 kilómetro de distancia...
- ¿Qué es el SIM Swapping? Así pueden hackear tus cu...
- El 74% del dinero robado en ataques de ransomware ...
- Actualizaciones de seguridad importantes de Apple ...
- Cibertataques en Ucrania: Agencias militares y ban...
- pfSense distro basada en FreeBSD monitoriza y admi...
- Nueva versión distro Hacking: Kali Linux 2022.1
- Administrar y crear servicios con systemd en Linux...
- Un bug de Zoom para MacOS Monterey dejaba encendid...
- Android 13 permite ejecutar Windows 10, 11 y distr...
- Windows añade protecciones para evitar la extracci...
- Telefónica, Vodafone y Orange dicen que las empres...
- Detenidos en Madrid por fraude zapatillas falsific...
- Intel estrena con el kernel 5.18 funciones de pago...
- Google paga 8.7 millones de dólares en recompensas...
- AMD rompe su récord de cuota de mercado como fabri...
- Empiezan a vender "Air Tags" silenciados para espi...
- Mejora la temperatura de tu SSD con un disipador d...
- Malware Qbot necesita sólo 30 minutos para robar d...
- La Policía Nacional desarticula una organización c...
- SpaceX pierde 40 de los 49 nuevos satélites instal...
- Plugins y addons (scripts) para el firmware router...
- EE. UU. incauta 3.600 millones de dólares robados ...
- Microsoft deshabilita temporalmente los instalador...
- Multadas con casi 6 millones de € varias operadora...
- Ciberataque a Vodafone Portugal deja sin servicio ...
- NVIDIA abandona finalmente de forma oficial sus pl...
- La UE invertirá 43.000 millones de euros para dupl...
- Google afirma que la verificación en 2 pasos ha co...
- Microsoft deshabilitará por defecto las macros en ...
- Países Bajos multa a Apple con 5 millones € por la...
- El nuevo super yate de Jeff Bezos es tan grande qu...
- Una filtración de datos expone las identificacione...
- Meta amenaza con cerrar Facebook e Instagram en Eu...
- Microsoft detectó 35.700 millones de intentos de a...
- The Wall Street Journal hackeado por China
- Facebook pierde usuarios por primera vez en su his...
- El nuevo estándar WiFi 802.11bf permitirá detectar...
- Mozilla refuerza la privacidad Firefox combinando ...
- Monitorizar el rendimiento de contenedores Docker ...
- Raspberry Pi OS ya está disponible en 64 bits de f...
- VLC denuncia que hay personas domiciliando sus rec...
- Estándar Encrypted Client Hello (ECH) permitirá me...
- Roban 320 millones dólares de Ethereum a la plataf...
- Comando Robocopy: herramienta copia de seguridad d...
- Publicado exploit para nueva vulnerabilidad local ...
- Microsoft explica el motivo porque algunos usuario...
- La huella digital de tu GPU también sirve para ras...
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
Pese a que Gemini ofrece multitudes de opciones, recientemente, se ha dado a conocer una situación fuera de lo común. Hace unos días, un es...
-
Si estos días vas a cualquiera de las plataformas de venta que hay en internet y buscas un USB probablemente te encuentras con no pocos con ...
Malware Qbot necesita sólo 30 minutos para robar datos confidenciales
El malware generalizado conocido como Qbot (también conocido como Qakbot o QuakBot) ha regresado recientemente a los ataques a la velocidad de la luz y, según los analistas, solo necesita alrededor de 30 minutos robar datos confidenciales después de la infección inicial.
Según un nuevo informe de DFIR, Qbot estaba realizando estos ataques rápidos de datos en octubre de 2021, y ahora parece que los actores de amenazas detrás de él han vuelto a tácticas similares.
Más específicamente, los analistas informan que los adversarios tardan media hora en robar datos del navegador y correos electrónicos de Outlook y 50 minutos antes de saltar a una estación de trabajo adyacente.
La cronología de un ataque
Como se muestra en el siguiente diagrama, Qbot se mueve rápidamente para realizar una escalada de privilegios inmediatamente después de una infección, mientras que se realiza un escaneo de reconocimiento completo en diez minutos.
El acceso inicial generalmente se logra a través de un documento de Excel (XLS) que usa una macro para colocar el cargador DLL en la máquina de destino.
Esta carga útil luego se ejecuta para crear una tarea programada a través del proceso msra.exe y se eleva a los privilegios del sistema.
Además, el malware agrega la DLL de Qbot a la lista de exclusión de Microsoft Defender, por lo que no se detectará cuando ocurra la inyección en msra.exe.
El malware roba correos electrónicos media hora después de la ejecución inicial, que luego se utilizan para ataques de phishing en cadena de reproducción y para venderlos a otros actores de amenazas.
Qbot roba las credenciales de Windows de la memoria mediante las inyecciones de LSASS (Servicio de servidor de la autoridad de seguridad local) y de los navegadores web. Estos se aprovechan para el movimiento lateral a otros dispositivos en la red, iniciado en un promedio de cincuenta minutos después de la primera ejecución.
Qbot se mueve lateralmente a todas las estaciones de trabajo en el entorno escaneado copiando un archivo DLL al siguiente objetivo y creando de forma remota un servicio para ejecutarlo.
Al mismo tiempo, se elimina la infección anterior, por lo que la máquina a la que se le acaban de extraer las credenciales se desinfecta y parece normal.
Además, los servicios creados en las nuevas estaciones de trabajo tienen el parámetro 'DeleteFlag', que hace que se eliminen al reiniciar el sistema.
El movimiento lateral ocurre rápidamente, por lo que si no hay una segmentación de la red para proteger las estaciones de trabajo, la situación se vuelve muy desafiante para los equipos de defensa.
Además, a los actores de amenazas de Qbot a menudo les gusta usar algunos de los sistemas comprometidos como puntos proxy de primer nivel para facilitar el enmascaramiento y la rotación de direcciones, y usan múltiples puertos para la comunicación SSL con el servidor C2.
El impacto de estos rápidos ataques no se limita a la pérdida de datos, ya que también se ha observado que Qbot arroja cargas útiles de ransomware en redes corporativas comprometidas.
Un informe de Microsoft de diciembre de 2021 capturó la versatilidad de los ataques de Qbot, lo que dificulta evaluar con precisión el alcance de sus infecciones.
Sin embargo, no importa cómo se desarrolle con precisión una infección de Qbot, es fundamental tener en cuenta que casi todos comienzan con un correo electrónico, por lo que este es el principal punto de acceso que las organizaciones deben fortalecer.
El anuncio que de Microsoft de que bloqueará las macros en los documentos descargados de forma predeterminada al eliminar los botones "Habilitar contenido" y "Habilitar edición" contribuirá en gran medida a proteger a los usuarios de los ataques de phishing de Qbot.
Rapidez ataques malware
Datos compartidos por Fibratel y CrowdStrike, y como ya podíamos imaginar, el ecosistema del malware empeoró en 2021 con respecto a 2020,
Por tiempo necesario para llevar un ataque, el ranking de ambas compañías es el siguiente:
- Bear: Grupo de origen ruso, capaces de reducir el tiempo de ataque a 18 minutos. En estos pocos minutos son capaces de adentrarse en la infraestructura IT de una organización.
- Chollima: Con base en Corea del Norte, su capacidad de ataque les permite el despliegue completo en 2 horas y 20 minutos.
- Panda: Grupo de origen chino y que necesita una media de 4 horas en perpetrar sus ataques.
- Kitten: Especializado en intrusiones, este grupo de origen israelí, las estimaciones apuntan a que necesita alrededor de 5 horas y 9 minutos.
- Spider: Volvemos a Rusia con este grupo especializado en la extorsión, y que puede completar ataques en 9 horas y 42 minutos.
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.