Tutoriales y Manuales
Entradas Mensuales
-
▼
2024
(Total:
1058
)
- ► septiembre (Total: 50 )
-
▼
julio
(Total:
104
)
- Los actores de doblaje de videojuegos, en huelga c...
- Intel confirma daños permanentes en los Core Gen 1...
- Un fallo en Google Password Manager dejó sin contr...
- Múltiples malware y ransomware aprovechan vulnerab...
- Estafas del CEO mediate IA
- Nicolás Maduro declara a Elon Musk «archienemigo» ...
- Las ganancias de Tesla caen un 45 %, mientras Elon...
- Suiza exigirá que todo el software gubernamental s...
- Secure Boot está roto en más de 200 modelos de 5 g...
- Cómo evitar que X (Twitter) use tus publicaciones ...
- Elon Musk se enfrenta a nuevas sanciones por entre...
- Error en WhatsApp para Windows permite ejecución d...
- Compañía de seguridad de EEUU contrató un ingenier...
- Cómo funciona DDoSia: la herramienta DDoS utilizad...
- Grindr bloquea algunas funciones en la Villa Olímp...
- Apple Maps lanza, por fin, una versión web para co...
- Modus operandi de un ataque del ransomware Akira
- Suplantación de archivos en WhatsApp para Android
- CrowdStrike ofrece un vale de 10€ en UberEats para...
- AMD retrasa ligeramente el lanzamiento de los Ryze...
- El CNI de España coordina una respuesta al ataque ...
- Photoshop permite crear imágenes con IA desde sus ...
- Meta presenta Llama 3.1, su IA de código abierto q...
- Grupo pro ruso NoName057(16) realiza ataques DDoS ...
- Windows 11 funciona en un iPhone 15 Pro, aunque mu...
- Compañía aérea se salva del desastre de CrowdStrik...
- Facebook quiere gastarse 87.000 millones en ‘Ray-B...
- Google eliminará acortador de URLs goo.gl en 2025
- Microsoft culpa a la UE de lo sucedido con CrowdSt...
- Process Hollowing: una técnica de evasión utilizad...
- 0-Day en Telegram permitía enviar archivos dañinos...
- Herramienta de Microsoft para recuperar equipos da...
- China tiene un equipo de ciberseguridad que se enc...
- La nueva normativa pide usar botones físicos en lo...
- La Guardia Civil detiene a tres prorrusos en Españ...
- Caída global por culpa de CrowdStrike: un apagón c...
- OpenAI presenta GPT-4o mini, una IA más potente y ...
- Filtración de datos de empresa espía mSpy, revela ...
- Armas biológicas diseñadas por IA
- Hack WPA / WPA2 fácilmente sin fuerza bruta con Fl...
- Configurar Telegraf, InfluxDBv2 y Grafana para mon...
- Caddy: un servidor web con funciones de proxy inverso
- Windows resolverá el problema de las actualizacion...
- Apple y otras empresas usaron videos de YouTube pa...
- Vulnerabilidad crítica en GeoServer GeoTools explo...
- El FBI logra acceso al móvil del atacante de Donal...
- Las guerras de Unix: Un capítulo crucial en la his...
- Europa dice que X (Twitter) engaña a los usuarios ...
- Detenidos tres menores por difundir por Whatsapp f...
- Google quiere comprar la startup de ciberseguridad...
- Explotación de vulnerabilidades tan solo 22 minuto...
- 0-Day en Windows MSHTML utilizado en ataques de ma...
- HardBit ransomware version 4.0
- Fábrica de Xiaomi abierta 24/7 en la que todos los...
- Alemania dejará gradualmente sin uso de las redes ...
- Detenido de nuevo Alcasec por robar los datos de 3...
- Vulnerabilidad crítica en Exim expone a millones d...
- Cómo la desinformación rusa terminó en el top de l...
- Excel incluye un editor para programar en Python
- Parche de Microsoft para grave vulnerabilidad acce...
- Vulnerabilidad crítica en GitLab Community y Enter...
- Cómo roban cuentas de YouTube con infostealers
- Función de WhatsApp transcribe las notas de voz pa...
- The Harvester: herramienta OSINT para analizar los...
- AMD compra la finlandesa Silo AI para impulsar su ...
- Windows 10 recibe Copilot como parte de una actual...
- Samsung Galaxy Ring, un anillo cuantificador con a...
- Microsoft abandona la junta directiva de OpenAI en...
- Elon Musk es acusado de hacer trampa con el sistem...
- Vulnerabilidad crítica en libreria Ghostscript en ...
- Youtuber muestra cómo conseguir juegos gratis en S...
- La computadora cuántica de Google es humillada por...
- Fossify es una suite Open Source, gratis y sin anu...
- Nothing desvela el CMF Phone 1, un sorprendente sm...
- Google Maps introducirá anuncios en la navegación
- Todo lo que necesitas saber sobre puertos USB y ve...
- El Dorado ransomware: objetivo máquinas virtuales ...
- Batocera es una retroconsola para PC y Android
- Recopilación de 10 mil millones de contraseñas
- Limitar el ancho de banda en Linux
- Rack SSD
- Servidor Blade vs. Servidor de Rack vs. Servidor d...
- ChatGPT para Mac expuso las conversaciones de mill...
- Roban 33 millones de números de teléfono del famos...
- La UE podría eliminar la exención aduanera a los p...
- Google Drive ahora es Booteable
- Organismo rector de la Fórmula 1 revela una filtra...
- Google Chrome bloqueará los certificados TLS de En...
- Apple veta la emulación de PCs «retro» en iOS
- 54 detenidos por estafar más de 2 millones de euro...
- YouTube permite solicitar el borrado de vídeos gen...
- Primer cable Thunderbolt 5 con una velocidad 120 G...
- Los adultos Españoles que quieran entrar en webs p...
- Japón bate el récord de banda ancha superando los ...
- Wise alerta de un hackeo masivo con robo de datos ...
- Detenido autor puntos de acceso Wifi falsos en aer...
- regreSSHion: 14 millones de servidores OpenSSH vul...
- NFC - ¿Qué es, cómo funciona y qué riesgos de segu...
- WhatsApp publica su planificador de eventos para g...
- Meta deja de publicar parches de seguridad para el...
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
Un fallo de diseño en el mecanismo de registro del servidor VPN de Fortinet puede aprovecharse para ocultar la verificación exitosa de cre...
-
Trinity asegura haber robado 560 GB de datos de la Agencia Tributaria (AEAT) española, así como haber secuestrado parte de sus sistemas, ci...
Múltiples malware y ransomware aprovechan vulnerabilidades en VMware ESXi
Varios grupos de ransomware han explotado activamente una falla de seguridad recientemente corregida que afecta a los hipervisores VMware ESXi para obtener permisos elevados e implementar malware y ransomware.
Los ataques implican la explotación de CVE-2024-37085 (puntuación CVSS: 6,8), una omisión de autenticación de integración de Active Directory que permite a un atacante obtener acceso administrativo al host.
"Un actor malintencionado con suficientes permisos de Active Directory (AD) puede obtener acceso total a un host ESXi al volver a crear un grupo de AD configurado ('ESXi Admins' por defecto) después de que se haya eliminado de AD", señaló VMware, en un aviso publicado a fines de junio de 2024.
En otras palabras, aumentar los privilegios en ESXi al administrador era tan simple como crear un nuevo grupo AD llamado "ESXi Admins" y agregarle cualquier usuario o cambiar el nombre de cualquier grupo en el dominio y agregar un usuario al grupo o usar un miembro del grupo existente.
net group “ESX Admins” /domain /add
net group “ESX Admins” username /domain /add
Microsoft, en un nuevo análisis publicado el 29 de julio, dijo que observó que operadores de ransomware como Storm-0506, Storm-1175, Octo Tempest y Manatee Tempest aprovechaban la técnica posterior al compromiso para implementar Akira y Black Basta.
"Los hipervisores ESXi de VMware unidos a un dominio de Active Directory consideran que cualquier miembro de un grupo de dominio llamado 'ESXi Admins' tiene acceso administrativo completo de forma predeterminada", dijeron los investigadores Danielle Kuznets Nohi, Edan Zwick, Meitar Pinto, Charles-Edouard Bettan y Vaibhav Deshmukh. "Este grupo no es un grupo integrado en Active Directory y no existe de forma predeterminada. Los hipervisores ESXi no validan que dicho grupo exista cuando el servidor se une a un dominio y aún tratan a cualquier miembro de un grupo con este nombre con acceso administrativo completo, incluso si el grupo no existía originalmente".
En un ataque organizado por Storm-0506 contra una empresa de ingeniería anónima en América del Norte, el actor de amenazas utilizó esta vulnerabilidad como arma para obtener permisos elevados en los hipervisores ESXi después de haber obtenido un punto de apoyo inicial utilizando una infección QakBot y explotando otra falla en el controlador del sistema de archivos (CLFS) (CVE-2023-28252, puntuación CVSS: 7.8) para la escalamiento de privilegios.
Posteriormente, las fases implicaron la implementación de Cobalt Strike y Pypykatz, una versión Python de Mimikatz, para robar credenciales de administrador de dominio y moverse lateralmente a través de la red, seguido de la eliminación del implante SystemBC para la persistencia y el abuso del acceso de administrador de ESXi para implementar Black Basta.
"También se observó al actor intentando forzar las conexiones del Protocolo de escritorio remoto (RDP) a múltiples dispositivos como otro método para el movimiento lateral, y luego instalar nuevamente Cobalt Strike y SystemBC. El actor de amenazas luego intentó manipular Microsoft Defender Antivirus utilizando varias herramientas para evitar la detección".
El desarrollo se produce después de que Mandiant, propiedad de Google, revelara que un grupo de amenazas con motivaciones financieras llamado UNC4393 está utilizando el acceso inicial obtenido a través de una puerta trasera C/C++ con nombre en código ZLoader (también conocido como DELoader, Terdot o Silent Night) para distribuir Black Basta, alejándose de QakBot y DarkGate.
La secuencia de ataque implica hacer uso del acceso inicial para lanzar Cobalt Strike Beacon y una combinación de herramientas personalizadas y fácilmente disponibles para realizar el reconocimiento, sin mencionar la dependencia de RDP y Server Message Block (SMB) para el movimiento lateral. La persistencia se logra mediante SystemBC.
ZLoader, que reapareció después de una larga pausa a fines del año pasado, ha estado en desarrollo activo, con nuevas variantes del malware que se propagan a través de una puerta trasera de PowerShell conocida como PowerDash, según hallazgos recientes del equipo de inteligencia cibernética de Walmart.
En los últimos años, los actores de ransomware han demostrado un apetito por aprovechar nuevas técnicas para maximizar el impacto y evadir la detección, apuntando cada vez más a los hipervisores ESXi y aprovechando las fallas de seguridad recientemente reveladas en los servidores que dan a Internet para vulnerar los objetivos de interés.
Qilin (también conocido como Agenda), por ejemplo, se desarrolló originalmente en el lenguaje de programación Go, pero desde entonces se ha vuelto a desarrollar utilizando Rust, lo que indica un cambio hacia la construcción de malware utilizando lenguajes seguros para la memoria. Se ha descubierto que los ataques recientes que involucran ransomware aprovechan debilidades conocidas en el software Fortinet y Veeam Backup & Replication para el acceso inicial.
"El ransomware Qilin es capaz de autopropagarse a través de una red local", afirmó Group-IB en un análisis reciente, y agregó que también está equipado para "realizar la autodistribución mediante VMware vCenter".
Otro malware notable empleado en los ataques del ransomware Qilin es una herramienta denominada Killer Ultra que está diseñada para deshabilitar el popular software de detección y respuesta de endpoints (EDR) que se ejecuta en el host infectado, así como para borrar todos los registros de eventos de Windows para eliminar todos los indicadores de compromiso.
Se recomienda a las organizaciones instalar las últimas actualizaciones de software, practicar la higiene de credenciales, aplicar la autenticación de dos factores y tomar medidas para proteger los activos críticos mediante procedimientos de monitoreo adecuados y planes de respaldo y recuperación.
Fuente: THN
Vía:
https://blog.segu-info.com.ar/2024/07/multiples-malware-y-ransomware.html
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.