Tutoriales y Manuales
Entradas Mensuales
-
▼
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
▼
febrero
(Total:
102
)
- El DJ serbio que se ha forrado recuperando dominio...
- La plaga de anuncios trampa con imágenes de famoso...
- Con una Raspberry Pi y un algoritmo de IA bloquea ...
- Hackean remotamente las impresoras 3D de Anycubic
- Disponible Kali Linux 2024.1 con 4 nuevas herramie...
- El ransomware Rhysida pide 3,6 millones de dólares...
- Browser In The Browser (BitB) sin marcos
- Botnet con Ubiquity EdgeRouter infectados
- Epic Games ha sido hackeada por Mogilevich: han ro...
- Amazon Prime Video incluirá anuncios en España a p...
- Samsung presenta una tarjeta microSD capaz de alca...
- El Bitcoin alcanza su valor más alto de los último...
- PlayStation despide a cientos de empleados y cance...
- Universal Music retira más canciones de TikTok e i...
- Novedades Tails 6.0
- Configurar una VPN con WireGuard y WireGuard-UI en...
- Configurar una VPN Site-to-Site con IPsec
- Influencers "Los Petazetaz" detenidos por violar y...
- Filtración datos personales titulares de las tarje...
- Energizer P28K: el móvil con la batería más grande...
- Lenovo presenta un prototipo de portátil con una p...
- Oppo presenta las Air Glass 3, sus gafas de realid...
- ¿Puede un malware ocultarse en una foto?
- Vulnerabilidades más aprovechadas para realizar at...
- Microsoft se une al club de Apple: diseñará sus pr...
- Nvidia supera las expectativas y sus ventas para c...
- Vuelve el grupo de ransomware LockBit
- Windows 11 aún no es compatible ni con Wi-Fi 7 ni ...
- Avast antivirus multada con 16,5 millones por alma...
- El cristal de las Apple Vision Pro se agrieta sin ...
- Consiguen hackear PlayStation Portal y ejecutar un...
- Google usará Reddit para entrenar su inteligencia ...
- Gemma, la nueva IA de código abierto de Google
- Menores de edad “venden” sus datos biométricos a W...
- Un pasajero en pleno vuelo publica en Reddit una i...
- Filtración programa integral de vigilancia global ...
- Un error en las cámaras domóticas Wyze permitió qu...
- Condenan a prisión en EE.UU. a una popular youtube...
- Más de 28.500 servidores correo Microsoft Exchange...
- Europol confisca los sitios del mayor grupo de ran...
- Microsoft anuncia su mayor inversión en España: 1....
- La Comisión Europea abre una investigación a TikTok
- Comisiones Obreras de España sufre un hackeo con l...
- La UE multará a Apple Music con 500 millones de eu...
- GhostTask: crea tareas programadas de forma sigilo...
- Acusan a X (Twitter) de recibir dinero de grupos t...
- LineageOS 21, la mejor ROM alternativa llega actua...
- KeyTrap: Vulnerabilidad crítica de diseño en DNS
- Europa dictamina que las puertas traseras en siste...
- Nothing Phone 2a: especificaciones, precio y diseño
- Se casa la pareja que solo se podía comunicar medi...
- Microsoft presenta su aplicación PC Manager para m...
- NVIDIA Chat with RTX, un chatbot de IA que se ejec...
- OpenAI presenta Sora, su nueva herramienta para ge...
- El ‘boom’ de los influencers de 10 años: el reto d...
- Suplantación del CEO utilizando la técnica de inte...
- Cuidado con enamorarte de una IA: son una trampa p...
- ChatGPT es el nuevo aliado de los grupos cibercrim...
- Las empresas empiezan a usar una herramienta de IA...
- Vuelve la fiebre por el Bitcoin: alcanza su máximo...
- Google, Meta y OpenAI anuncian medidas para identi...
- Vulnerabilidad crítica en Docker permite escapar d...
- Vulnerabilidad en el software Magician de Samsung SSD
- IA, pérdidas de trabajo y los despidos
- Filtrados los datos de 33 millones de pacientes fr...
- OnlyFake: identidades falsas de cualquier país
- Ovrdrive USB, el pendrive que se autodestruye
- Amazon es acusada de recomendar los productos más ...
- Descubren malware en mini-ordenadores vendidos en ...
- El cursor de tu ratón está torcido, y ha estado as...
- La telco mexicana Claro reconoce haber sufrido un ...
- Según Estados Unidos, los coches eléctricos chinos...
- Vulnerabilidad en productos Ivanti expone a miles ...
- Empresa de recuperación de datos avisa: «Pendrives...
- Rompen el cifrado BitLocker de Windows 10 y Window...
- Vulnerabilidad crítica que afecta a la mayoría de ...
- Apple presenta una IA de código abierto para edita...
- ¿Una botnet de DDoS con cepillos de dientes? No es...
- Vulnerabilidades en Cisco, Fortinet, VMware y QNAP
- Cómo ver todas las contraseñas de conexiones WiFi ...
- Google advierte por la creciente amenaza de empres...
- Operación Synergia de la Interpol arresta a 31 per...
- Roban 24 millones a una empresa suplantando al CEO...
- España gana el Ambassador World Cup 2023
- Cómo banear miles de direcciones IP's con ipset
- Facebook cumple 20 años
- Condenan a 40 años de cárcel al hacker que filtró ...
- Vulnerabilidad 0-day en el registro de eventos de ...
- Roban 15 millones de registros de Trello a través ...
- AnyDesk sufre una brecha de seguridad y recomienda...
- Importantes vulnerabilidades en el syslog() de la ...
- En España un ciberataque de ransomware deja sin si...
- Google cambiará el nombre de Bard a Gemini
- Google presenta ImageFX, su generador de imágenes ...
- Amazon anuncia el chatbot Rufus, un asistente de c...
- Demandan en España a Worldcoin, la empresa que esc...
- Binance filtra su código fuente e información conf...
- Microsoft ignoró avisos sobre un exploit de DALL-E...
- El impacto de la IA le está reportando millones de...
- Las SSD de 16 TB llegarán pronto
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
iperf3 es la última versión del popular programa iperf para medir el ancho de banda entre dos o más equipos en red local o Internet . Es...
-
A finales del mes de agosto hablábamos de que los legisladores estadounidense habían solicitado la investigación de TP-Link . Y así, ya ten...
Vulnerabilidades más aprovechadas para realizar ataques de ransomware
La explotación de vulnerabilidades por parte de los grupos de ransomware se divide en dos categorías claras: vulnerabilidades que solo han sido explotadas por uno o dos grupos y aquellas que han sido ampliamente explotadas por varios grupos. Cada una de estas categorías requiere un enfoque diferente para la defensa y la mitigación y este informe de Recorded Future profundiza en estos aspectos.
Los grupos de actores de amenazas que son los únicos que atacan ciertas vulnerabilidades tienden a seguir preferencias específicas de orientación y uso de armas, lo que permite a las empresas priorizar las defensas de la red y las auditorías de los proveedores. La mejor defensa contra los grupos que favorecen la explotación única es crear un perfil de sus objetivos más probables, tanto en términos de productos como de tipos de vulnerabilidad.
Las vulnerabilidades ampliamente explotadas se encuentran en el software que se utiliza con frecuencia en las grandes empresas. Estas vulnerabilidades suelen explotarse fácilmente mediante módulos de pruebas de penetración o líneas mínimas de código centradas en dispositivos que aceptan solicitudes HTTP/S.
Las mejores defensas contra la explotación generalizada son parchear las vulnerabilidades tan pronto como estén disponibles, monitorear la investigación de seguridad para detectar vulnerabilidades simples de prueba de concepto y monitorear los foros criminales en busca de referencias a componentes de la pila tecnológica (en lugar de vulnerabilidades específicas).
Resultados clave
- Los grupos de ransomware son los únicos que explotan tres o más vulnerabilidades y muestran un claro enfoque de selección, que los defensores pueden utilizar para priorizar las medidas de seguridad. Por ejemplo, CL0P se ha centrado de manera única en el software de transferencia de archivos de Accellion, SolarWinds y MOVEit. Otros grupos de ransomware con altos niveles de explotación única muestran patrones similares.
- Todas las vulnerabilidades que los grupos de ransomware han atacado con mayor frecuencia se encuentran en el software utilizado con frecuencia por las grandes empresas y pueden explotarse fácilmente mediante módulos de prueba de penetración o líneas individuales de código curl. Estas vulnerabilidades son ProxyShell (CVE) 2021 (34473), CVE (2021) 34523 y CVE (2021) 31207, ZeroLogon (CVE 2020) 1472, Log4Shell (CVE 2021) 44228, CVE 2021 (3). 4527 y CVE 2019 19781.
- Las vulnerabilidades que requieren vectores únicos o personalizados para explotar (por ejemplo, archivos maliciosos que utilizan formas particulares de compresión) tienen más probabilidades de ser explotadas por sólo uno o dos grupos.
- Es muy poco probable que los operadores y afiliados de ransomware hablen sobre vulnerabilidades específicas, pero el ecosistema cibercriminal que los respalda ha discutido vulnerabilidades y productos públicamente conocidos como objetivos de interés para la explotación.
Las tres principales identificaciones (ID) de CWE para vulnerabilidades explotadas por grupos de ransomware son las siguientes:
- CWE 20 (Validación de entrada incorrecta): nueve vulnerabilidades
- CWE 22 (Limitación inadecuada de un nombre de ruta a un directorio restringido ["Path Traversal"]): nueve vulnerabilidades
- CWE 787 (escritura fuera de límites): ocho vulnerabilidades
Este resultado no es del todo sorprendente, ya que se alinea aproximadamente con patrones más amplios observados en el panorama de amenazas. Por ejemplo, CWE 20, CWE 22 y CWE 787 figuraron entre los diez CWE principales en la lista de las 25 debilidades de software más peligrosas de 2023 de CISA / MITRE, una clasificación elaborada a partir del análisis de los CVE que se explotan actualmente en el salvaje.
La explotación generalizada se concentra en los grandes proveedores y los scripts fáciles.
De todas las vulnerabilidades explotadas por las operaciones de ransomware, cinco se destacaron como aquellas que atrajeron la mayor atención de los actores de amenazas, habiendo sido explotadas por el mayor número de actores de amenazas de ransomware individuales.
Estas vulnerabilidades son ProxyShel, ZeroLogon, Log4Shell, CVE 2021 34527, que afectó a productos empresariales de Microsoft como Exchange, Netlogon y Print Spooler, y CVE 2019 19781, que afectó al software de Citrix.
El dominio de Microsoft aquí no es sorprendente: como hemos identificado en informes anteriores, Microsoft es regularmente el proveedor más afectado por la explotación de Zero-Days y por el ransomware en general, ya que alrededor del 55% de las vulnerabilidades explotadas por tres o más grupos estaban en productos de Microsoft.
Las cinco vulnerabilidades principales también resultaron muy populares en el panorama de amenazas más amplio una vez reveladas debido a factores como el alto impacto en términos de acceso o control sobre los sistemas y la ubicuidad del software afectado. Por ejemplo, se observó repetidamente que grupos de estados-nación y otros ciberdelincuentes que no utilizan ransomware atacaban estas vulnerabilidades como parte de sus operaciones de intrusión.
Al examinar las actividades de los grupos de ransomware y el uso de vulnerabilidades conocidas públicamente en foros, se identificaron dieciséis CVE no solo a los que se hace referencia en foros criminales sino que también son explotados por miembros de ransomware como servicio y RaaS.
Vulnerabilidades explotadas en campañas de ransomware desde 2017 a 2023
Los ciberdelincuentes afiliados a RaaS se encuentran en estos foros delictivos y pueden utilizar estas publicaciones en los medios para facilitar su interés en explotar una vulnerabilidad.
Mitigaciones
Con base en los hallazgos y evaluaciones anteriores, consideramos que las siguientes son las defensas más efectivas contra la explotación de vulnerabilidades por parte de los operadores de ransomware:
- A menos que sea necesario, asegúrese de que los dispositivos y las redes no puedan recibir solicitudes entrantes en los puertos 80 HTTP y 443 HTTPS. La explotación de vulnerabilidades del ransomware de mayor volumen muestra una clara preferencia por las vulnerabilidades críticas que pueden explotarse mediante unas pocas líneas de código contra dispositivos que pueden recibir solicitudes HTTP/S.
- Monitorear artículos, blogs y repositorios de códigos de investigadores de seguridad en busca de referencias a una sintaxis de explotación simple basada en solicitudes HTTP/S (como el código curl). Esta información se puede utilizar para configurar detecciones de intentos de explotación contra dispositivos que deben permanecer accesibles públicamente.
- Para los grupos de ransomware de interés, identifique si dichos grupos explotan vulnerabilidades específicas y dónde, para crear un perfil de los objetivos más probables, tanto en términos de productos como de tipos de vulnerabilidad. Por ejemplo, las organizaciones preocupadas por CL0P deberían priorizar mayores medidas de seguridad contra la inyección SQL en el software de transferencia de archivos. Alternativamente, las organizaciones preocupadas por ALPHV deberían priorizar el refuerzo de la autenticación para el software de respaldo de datos.
- Parchee las vulnerabilidades críticas y ampliamente explotadas lo más rápido posible. Las estadísticas de tiempo de permanencia anteriores demuestran que los grupos de ransomware pueden explotar la infraestructura vulnerable de las víctimas más de tres años después de la divulgación de una vulnerabilidad.
- No utilice el monitoreo de foros criminales como una forma confiable de identificar el interés de los grupos de ransomware en vulnerabilidades específicas, ya que estos grupos rara vez discuten dichas vulnerabilidades. Además, no confíe en las alertas de menciones criminales de identificadores CVE, ya que los delincuentes generalmente hablan de los identificadores CVE solo después de que se ha producido la explotación. En su lugar, supervise las discusiones criminales sobre proveedores y productos preocupantes.
Fuente: Recorded Future
Vía:
https://blog.segu-info.com.ar/2024/02/vulnerabilidades-explotadas-en-campanas.html
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.