#NoticiasCiberseguridad: Boletín de ciberseguridad semanal 9-13 de diciembre

ElevenPaths    13 diciembre, 2019
#NoticiasCiberseguridad: Boletín de ciberseguridad semanal 9-13 de diciembre

Los ataques y vulnerabilidads más destacados de la última semana, recopiladas por nuestros expertos del Security Cyberoperations Center.

El descifrador de Ryuk puede dañar archivos grandes

El éxito del Ryuk en los últimos años no ha significado que sus creadores hayan dejado de evolucionarlo y mejorarlo. Una de las características menos documentada es su capacidad para cifrar parcialmente los archivos, lo que le permite ahorrar tiempo y avanzar a través de los datos lo más rápido posible antes de que alguien lo note. Los archivos parcialmente cifrados mostrarán un pie de página ligeramente diferente al normal al final del archivo. En una de las últimas versiones de Ryuk, se realizaron cambios en la forma en que se calcula la longitud del pie de página. Como resultado, el descifrador proporcionado por los autores de Ryuk truncará los archivos, cortando demasiados bytes en el proceso de descifrar el archivo. Dependiendo del tipo de archivo exacto, esto puede o no causar problemas importantes. Además, el descifrador Ryuk generalmente eliminará los archivos que cree que se descifraron correctamente. Por tanto, antes de ejecutar cualquier descifrador de ransomware, se recomienda realizar primero una copia de seguridad de los datos cifrados.

Más información: https://blog.emsisoft.com/en/35023/bug-in-latest-ryuk-decryptor-may-cause-data-loss/amp/

Boletín de actualizaciones de Microsoft

Microsoft ha lanzado las actualizaciones de seguridad de su Patch Tuesday de diciembre de 2019. Las actualizaciones de este mes incluyen actualizaciones para 36 vulnerabilidades además de dos alertas sobre otros problemas de seguridad. De estas 36 vulnerabilidades, 7 se han clasificado como Críticas, 27 como Importantes, una como Moderada y una como Baja. Además, una de las vulnerabilidades importantes (CVE-2019-1458) es un zero-day para Windows que ya ha sido explotado. Otros vulnerabilidades catalogadas como críticas parcheadas este mes y que suponen un riesgo grave de ser utilizadas en campañas de malware o ataques dirigidos son el CVE-2019-1468 (una ejecución remota de código en el componente Win32k) y el CVE-2019-1471 (un error de ejecución remota de código en el Kit de herramientas de virtualización de Windows Hyper-V). Como curiosidad, indicar que Microsoft ha corregido también una vulnerabilidad catalogada como importante (CVE-2019-1489), que es otra vulnerabilidad más en el cliente RDP de Windows y que sólo aplica a Windows XP Service Pack 3, el cual ya no recibe actualizaciones de seguridad.

Más información: https://patchtuesdaydashboard.com/

Exploit 0-day en Windows utilizado en la Operation WizardOpium

Se ha descubierto un nuevo exploit para una vulnerabilidad 0-day de elevación de privilegios (CVE-2019-1458) en Windows que habría sido ya usado en los ataques de la llamada Operation WizardOpium. Este nuevo fallo explotado se habría detectado durante la cadena de explotación de una vulnerabilidad en Google Chrome reportada anteriormente (CVE-2019-13720), y se utilizaría para obtener mayores privilegios en el equipo infectado, así como realizar acciones fuera de la sandbox de Chrome. El exploit consta de un PE que corrompe algunos punteros de la memoria para redirigir la ejecución del código al “PE loader”. Esto permitiría evadir las restricciones de la sandbox ya que el exploit no puede iniciar nuevos procesos utilizando las funciones nativas de WinAPI. Este exploit afectaría directamente al driver win32k.sys. Si el atacante consigue explotar esta vulnerabilidad, podría ejecutar código arbitrario en el espacio del kernel permitiendo así instalar programas, ver, cambiar o eliminar datos, e incluso crear nuevas cuentas con todos los permisos. Existen parches disponibles para esta vulnerabilidad. Si el atacante consigue explotar esta vulnerabilidad, podría ejecutar código arbitrario en el espacio del kernel permitiendo así instalar programas, ver, cambiar o eliminar datos, e incluso crear nuevas cuentas con todos los permisos. Existen parches disponibles para esta vulnerabilidad.

Más información: https://securelist.com/windows-0-day-exploit-cve-2019-1458-used-in-operation-wizardopium/95432/

Anchor – Nuevo proyecto de desarrollo de los operadores de TrickBot

Un grupo asociado con TrickBot se habría embarcado en un proyecto para rediseñar y complementar este malware en un framework totalmente funcional con múltiples herramientas de intrusión, extracción de datos y persistencia. El proyecto, de nombre Anchor, consiste en una herramienta que facilitaría permanecer en los equipos infectados sin ser detectados durante semanas o meses mientras se roban los datos en ataques dirigidos a grandes empresas. Entre sus módulos incluye la capacidad de moverse lateralmente en la red, instalar puertas traseras, atacar terminales punto de venta para obtener datos de tarjetas y limpiar los sistemas tras la infección para ocultar su rastro. El grupo norcoreano Lazarus Group se ha visto relacionado recientemente con TrickBot y este nuevo proyecto, del cual comprarían el acceso a sistemas ya infectados para posteriormente instalar la puerta trasera PowerRatankba.

Más información: https://labs.sentinelone.com/the-deadly-planeswalker-how-the-trickbot-group-united-high-tech-crimeware-apt/

GALLIUM: Campaña contra el sector de las telecomunicaciones

Microsoft Threat Intelligence Center ha publicado un artículo detallando una campaña contra proveedores de telecomunicaciones por parte de un grupo al que han denominado GALLIUM. Para lograr el compromiso inicial de los sistemas, el grupo apunta a servicios de Internet sin parchear utilizando exploits disponibles públicamente y vulnerabilidades en WildFly/JBoss. La identificación de sus objetivos es probable que se base en la utilización de herramientas de investigación en fuentes abiertas y en el escaneo de redes. Una vez conseguido el acceso a la red, GALLIUM utiliza técnicas como Mimikatz para la obtención de credenciales que les permitirán movimiento lateral en la red. Varias características destacadas de este grupo es que no tratan de ofuscar sus intenciones y que utilizan herramientas disponibles de forma pública con pequeñas modificaciones; es decir, utilizan una infraestructura de bajo coste y fácil de reemplazar. Microsoft indica que la actividad de GALLIUM habría tenido lugar fundamentalmente a lo largo de 2018 y hasta mediados de 2019, habiendo decrecido sus niveles de actividad si bien se mantienen activos. Si bien Microsoft no lo menciona en su artículo, algunos medios especializados apuntan a las similitudes entre las TTPs identificadas para GALLIUM y la campaña reportada por investigadores de Cybereason que habría tenido lugar también en 2018 contra proveedores de telecomunicaciones y que se conoció con el nombre de Operation SoftCell.

Más información: https://www.microsoft.com/security/blog/2019/12/12/gallium-targeting-global-telecom/


Si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita el canal de Telegram y estate al día en seguridad digital.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *