Boletín semanal de ciberseguridad 15-20 de mayo

​Avisos de seguridad de ​QNAP

QNAP ha emitido dos avisos de seguridad para alertar a sus clientes acerca de:

• La detección de ataques recientes con el ransomware eCh0raix que estarían apuntando contra sus dispositivos NAS (Network Attached Storage). Desde la firma instan a sus clientes a protegerse de este tipo de ataques de forma inmediata mediante el uso de contraseñas más seguras, habilitando la protección de acceso a IP para evitar ataques de fuerza bruta, y, evitando el uso de puertos por defecto 443 y 8080. Esta alerta se produce tan solo unas semanas después de que investigadores de seguridad ya alertasen de la detección de ataques del ransomware AgeLocker (aka Qlocker) contra sus dispositivos.
• La explotación activa de una vulnerabilidad de 0-day en Roon Server, en concreto con afectación a los Roon Labs de Roon Server 2021-02-01 y versiones anteriores. Desde QNAP recomiendan deshabilitar el Roon Server y no exponer el NAS a internet para protegerse de estos ataques hasta que se publique una actualización de seguridad.

Todos los detalles: https://www.bleepingcomputer.com/news/security/qnap-warns-of-ech0raix-ransomware-attacks-roon-server-zero-day/

El troyano bancario Bizarro amplía su afectación a Europa

Investigadores de seguridad han identificado nuevas campañas del troyano bancario brasileño conocido como Bizarro en varios países de Europa como España, Francia, Portugal o Italia. Como viene siendo habitual en los troyanos brasileños, su distribución se realiza mediante campañas de spam que fuerzan la descarga de un archivo ZIP desde un sitio web comprometido, habiéndose identificado infraestructura en AWS, WordPress o Azure, tanto para el alojamiento de los archivos maliciosos iniciales como para el alojamiento de los C2. Se trata de un stealer que recopila información sobre el equipo infectado, la sesión, el antivirus empleado o datos del navegador. Una vez en el navegador, el software malicioso fuerza el cierre de las sesiones abiertas en servicios bancarios digitales en el navegador para obligar al usuario a volver a introducir las credenciales y así poder capturarlas. Además, cuenta con otras capacidades típicas en este tipo de troyanos como el secuestro de ratón y teclado, la resolución de factores de doble autenticación (2FA), el registro de pulsaciones, el envío de mensajes de sistema falsos, o la inducción a la instalación de aplicaciones maliciosas entre otras.

Información completa: https://securelist.com/bizarro-banking-trojan-expands-its-attacks-to-europe/102258/

​​​Cuatro vulnerabilidades de Android explotadas in the wild

Android ha actualizado la información asociada a cuatro vulnerabilidades corregidas el pasado 3 de mayo en su boletín de seguridad del mes de mayo. En concreto, ha cambiado la información relacionada con su explotación y afirma que estarían podrían estar siendo explotadas. Dos de las vulnerabilidades, identificadas como CVE-2021-1905 y CVE-2021-1906, afectan a los drivers de las GPU de Qualcomm, mientras que las dos restantes, CVE-2021-28663 y CVE-2021-28664 afectan a los drivers de las GPU Arm de Mali. Según el equipo Project Zero de Google, las cuatro vulnerabilidades estaban siendo explotadas por los atacantes antes incluso de que se publicaran los parches, y podrían haber sido empleadas en ataques dirigidos.

Toda la info: https://twitter.com/maddiestone/status/139500434699624

Nueva tendencia de doble cifrado con múltiples variantes de ransomware

Recientemente se ha conocido una nueva tendencia, analizada por los investigadores de Emsisoft, en la que actores maliciosos estarían usando múltiples variantes de ransomware para cifrar doblemente los datos de sus víctimas, con el objetivo de complicar la posible recuperación e incrementar las posibilidades de obtener un rescate. Cabe mencionar que no se trata de una doble extorsión sino de un doble cifrado, en el que los mismos operadores, deciden utilizar diferentes variantes de ransomware en un mismo ataque. En el análisis realizado se han observado ataques usando conjuntamente REvil y Netwalker, así como otros utilizando MedusaLocker junto con GlobeImposter. En algunos casos se ha llegado a compartir una muestra a través del portal de un grupo cuando los archivos cifrados habían sido enviados a través del portal del otro, por lo que es posible incluso que los operadores de las distintas familias estén trabajando conjuntamente. También se ha observado que en ocasiones se cifran los datos primeramente con un ransomware para luego re-cifrarlos con el segundo, mientras que, en otros, parte del sistema de cifra con una variante y parte con otra. Esta nueva tendencia, se suma a otras observadas recientemente, como el método de la triple extorsión, que consistiría en, además de cifrar los datos y amenazar con hacerlos públicos, contactar con clientes o terceras partes que puedan estar afectadas por el ataque para solicitarles un rescate, con el mismo objetivo de incrementar los beneficios económicos.

Más detalles: https://blog.emsisoft.com/en/38554/psa-threat-actors-now-double-encrypting-data-with-multiple-ransomware-strains/

Campaña de distribución del malware STRRAT

El equipo de seguridad de Microsoft informa de la detección de una nueva campaña de distribución masiva por email de la última versión del malware STRRAT. Los atacantes, estarían haciendo uso de cuentas de correo previamente comprometidas para el envío de los mensajes, que contiene una imagen adjunta que simula ser un PDF adjunto. Al hacer clic para abrir el supuesto documento, la imagen descarga el malware STRRAT. Las primeras detecciones de esta familia se remontan a 2020. Se trata de un malware programado en Java y que cuenta con un espectro de funcionalidades diverso, desde el robo de credenciales de distintos clientes de correo, el registro las pulsaciones del teclado, la ejecución de comandos arbitrarios, o la habilidad de instalar la herramienta open source RDWrap para lograr acceso remoto mediante sesiones RDP entre otras. Cabe destacar también, la función «rw-encrypt», que únicamente añade la extensión “.crimson” a los archivos, sin modificar el contenido de estos. Es decir, el usuario podría pensar que los archivos están cifrados como ocurre en los ataques de ransomware puesto que, al haberse cambiado la extensión por “.crimson” no puede abrirlos; sin embargo, bastaría volver a poner la extensión original para poder recuperar la información. Desde Microsoft han publicado queries de búsqueda avanzadas para facilitar la identificación de indicadores y comportamiento malicioso relacionado con STRRAT.

Para saber más: https://twitter.com/MsftSecIntel/status/1395138347601854465