Actualidad desde nuestro Centro Experto de Ciberseguridad

 

 

Te traemos las últimas noticias y alertas detectadas de Ciberseguridad.

Conecta con nosotros a través de siainfo@sia.es

  •  

      Compartir en:

Noticias destacadas de ciberseguridad

Vulnerabilidades

Detectadas múltiples vulnerabilidades críticas de ejecución remota de código en dispositivos de IoT y sistemas industriales

 

  bleepingcomputer.com

 

Vulnerabilidad en la política de seguridad GSSAPI de BIND que puede conducir a un desbordamiento de búfer (CVE-2021-25216)

 

kb.isc.org

Malware

Actores de amenazas lanzan dos nuevas herramientas para el robo de criptomonedas, el stealer WeSteal y el RAT WeControl

 

  unit42.paloaltonetworks.com

 

Grupo de amenazas aprovecha la vulnerabilidad SonicWall zero-day para comprometer redes con el ransomware FiveHands

 

  fireeye.com

 

Ciberseguridad

El banco First Horizon Bank reveló que un ciberatacante accedió a 100 cuentas de clientes y robó casi un millón de dólares

 

  infosecurity-magazine.com

 

Detectada una brecha de seguridad en el proveedor sueco de sistemas de radiología y oncología, Elekta

 

  infosecurity-magazine.com

Últimas amenazas detectadas

Campaña global de ciberataques de la botnet Prometei

28/4/2021

Resumen ejecutivo

 

Ha sido detectada una nueva campaña global de ciberataques de la botnet Prometei aprovechando las recientes vulnerabilidades de Microsoft Exchange, CVE-2021-26858 y CVE-2021-27065.

Datos

 

Tipo:

 

TLP:

 

Objetivos:

 

 

Activos afectados:

 

 

Vector de ataque:

 

Tags:

 

Hacking

 

White

 

Credenciales y criptomonedas

 

Credenciales y criptomonedas

 

Hacking

 

Prometei, bluekeep, botnet, eternalblue, exchange, microsoft, vulnerabilidad

Descripción

 

Actores de amenazas están haciendo uso de la botnet Prometei para atacar a empresas de diversos sectores de todo el mundo con el fin de robar criptomonedas, como bitcoins o datos de las redes corporativas.

 

Prometei cuenta con una infraestructura diseñada para garantizar que siga operativa con las máquinas infectadas que forman parte de la red de bots. A pesar de que las autoridades han retirado muchos de los servidores C2 (Command and control) de la botnet, ésta sigue activa y evolucionando regularmente con nuevas características y herramientas.

 

Los actores están aprovechando vulnerabilidades de Microsoft Exchange (CVE-2021-26858 y CVE-2021-27065) recientes para poder comprometer redes de diferentes sectores, como finanzas, seguros, industria, viajes y construcción. Algunas de las empresas afectadas se encuentran en países como Estados Unidos, Francia o incluso España. Estos actores, al parecer de habla rusa, evitan las infecciones en los países del antiguo bloque soviético.

 

Para propagarse por las redes corporativas, están haciendo uso de las vulnerabilidades mencionadas de Microsoft Exchange además de exploits ya conocidos como EternalBlue y BlueKeep.

 

El objetivo principal de Prometei es la instalación del minero de criptomonedas Monero en los puntos finales de las empresas, además tiene versiones basadas en Windows y en Linux-Unix, por lo que es capaz de adaptarse al sistema operativo.

 

Se cree que esta botnet tiene una motivación financiera, ganar grandes sumas de bitcoins pero sin estar respaldado por un estado nacional. Los atacantes intentan mantener el control de la infraestructura de las víctimas de forma continua.

 

Técnicas utilizadas

 

INITIAL ACCESS

 

Exploit Public-Facing Application T1190

 

EXECUTION

 

System Services T1569

Native API T1106

Windows Management Instrumentation T1047

 

PERSISTENCE

 

Create or Modify System Process: Windows Service T1543.003

 

DEFENSE EVATION

 

Masquerading T1036

Valid Accounts T1078

 

CREDENTIAL ACCESS

 

Credentials from Password Stores T1555

OS Credential Dumping T1003

Unsecured Credentials T1552

Brute Force T1110

 

DISCOVERY

 

System Information Discovery T1082

System Service Discovery T1007

Network Share Discovery T1135

Process Discovery T1057

 

LATERAL MOVEMENT

 

Exploitation of Remote Services T1210

Lateral Tool Transfer T1570

 

COMMAND AND CONTROL

 

Application Layer Protocol T1071

Data Encoding T1132

Multi-Stage Channels T1104

 

 

Recomendaciones

Protección

 

  • Mantener el sistema actualizado con los últimos parches de seguridad, tanto para el sistema operativo como para todo el software que se tenga instalado
  • Evitar el usuario “Administrador” para el uso general del sistema, ya que no suele ser necesario
  • Mostrar extensiones para tipos de fichero conocidos, con el fin de identificar posibles archivos ejecutables que pudieren hacerse pasar por otro tipo de fichero
  • Prestar atención cuando se navega por Internet y evitar descargar archivos de origen dudoso o que ofrecen soluciones de seguridad falsas
  • No descargar software ilegal o pirata, ya que puede contener malware

Detección

 

  • Disponer de un antivirus con capacidad proactiva de detección y mantenerlo siempre actualizado
  • Analizar archivos temporales y carpetas de sistema (%System32%) en búsqueda de ficheros maliciosos
  • Buscar nuevas cuentas creadas en todos aquellos sistemas que hayan podido encontrarse afectados. En especial, aquellos usuarios creados con permisos de Administrador
  • Investigar comunicaciones  realizadas mediante protocolos de trasferencia  de archivos (FTP, SSH…)

 

Mitigación

 

  • Resetear las contraseñas de los sistemas comprometidos
  • Proceder  a eliminar todas las muestras de malware y sus puntos de persistencia
  • Restaurar todos los archivos que hayan sido alterados por el atacante
  • Realizar un análisis forense en los equipos sospechosos para determinar que datos han podido ser filtrados

 

Impulsa la transformación de los negocios y la sociedad mediante soluciones y servicios innovadores, poniendo a las personas en el centro.

 

 

minsait.com

Indra es una de las principales compañías globales de tecnología y consultoría: el socio tecnológico para las operaciones clave de los negocios de clientes en todo el mundo.

 

indracompany.com

Impulsa la transformación de los negocios y la sociedad mediante soluciones y servicios innovadores, poniendo a las personas en el centro.

 

minsait.com

Indra es una de las principales compañías globales de tecnología y consultoría: el socio tecnológico para las operaciones clave de los negocios de clientes en todo el mundo.

 

indracompany.com