Actualidad desde nuestro Centro Experto de Ciberseguridad
Te traemos las últimas noticias y alertas detectadas de Ciberseguridad.
Conecta con nosotros a través de siainfo@sia.es
Compartir en:
Noticias destacadas de ciberseguridad
Vulnerabilidades
Detectadas múltiples vulnerabilidades críticas de ejecución remota de código en dispositivos de IoT y sistemas industriales
Vulnerabilidad en la política de seguridad GSSAPI de BIND que puede conducir a un desbordamiento de búfer (CVE-2021-25216)
Malware
Actores de amenazas lanzan dos nuevas herramientas para el robo de criptomonedas, el stealer WeSteal y el RAT WeControl
Grupo de amenazas aprovecha la vulnerabilidad SonicWall zero-day para comprometer redes con el ransomware FiveHands
Ciberseguridad
El banco First Horizon Bank reveló que un ciberatacante accedió a 100 cuentas de clientes y robó casi un millón de dólares
Detectada una brecha de seguridad en el proveedor sueco de sistemas de radiología y oncología, Elekta
Últimas amenazas detectadas
Campaña global de ciberataques de la botnet Prometei
28/4/2021
Resumen ejecutivo
Ha sido detectada una nueva campaña global de ciberataques de la botnet Prometei aprovechando las recientes vulnerabilidades de Microsoft Exchange, CVE-2021-26858 y CVE-2021-27065.
Datos
Tipo:
TLP:
Objetivos:
Activos afectados:
Vector de ataque:
Tags:
Hacking
White
Credenciales y criptomonedas
Credenciales y criptomonedas
Hacking
Prometei, bluekeep, botnet, eternalblue, exchange, microsoft, vulnerabilidad
Descripción
Actores de amenazas están haciendo uso de la botnet Prometei para atacar a empresas de diversos sectores de todo el mundo con el fin de robar criptomonedas, como bitcoins o datos de las redes corporativas.
Prometei cuenta con una infraestructura diseñada para garantizar que siga operativa con las máquinas infectadas que forman parte de la red de bots. A pesar de que las autoridades han retirado muchos de los servidores C2 (Command and control) de la botnet, ésta sigue activa y evolucionando regularmente con nuevas características y herramientas.
Los actores están aprovechando vulnerabilidades de Microsoft Exchange (CVE-2021-26858 y CVE-2021-27065) recientes para poder comprometer redes de diferentes sectores, como finanzas, seguros, industria, viajes y construcción. Algunas de las empresas afectadas se encuentran en países como Estados Unidos, Francia o incluso España. Estos actores, al parecer de habla rusa, evitan las infecciones en los países del antiguo bloque soviético.
Para propagarse por las redes corporativas, están haciendo uso de las vulnerabilidades mencionadas de Microsoft Exchange además de exploits ya conocidos como EternalBlue y BlueKeep.
El objetivo principal de Prometei es la instalación del minero de criptomonedas Monero en los puntos finales de las empresas, además tiene versiones basadas en Windows y en Linux-Unix, por lo que es capaz de adaptarse al sistema operativo.
Se cree que esta botnet tiene una motivación financiera, ganar grandes sumas de bitcoins pero sin estar respaldado por un estado nacional. Los atacantes intentan mantener el control de la infraestructura de las víctimas de forma continua.
Técnicas utilizadas
INITIAL ACCESS
Exploit Public-Facing Application T1190
EXECUTION
System Services T1569
Native API T1106
Windows Management Instrumentation T1047
PERSISTENCE
Create or Modify System Process: Windows Service T1543.003
DEFENSE EVATION
Masquerading T1036
Valid Accounts T1078
CREDENTIAL ACCESS
Credentials from Password Stores T1555
OS Credential Dumping T1003
Unsecured Credentials T1552
Brute Force T1110
DISCOVERY
System Information Discovery T1082
System Service Discovery T1007
Network Share Discovery T1135
Process Discovery T1057
LATERAL MOVEMENT
Exploitation of Remote Services T1210
Lateral Tool Transfer T1570
COMMAND AND CONTROL
Application Layer Protocol T1071
Data Encoding T1132
Multi-Stage Channels T1104
Recomendaciones
Protección
- Mantener el sistema actualizado con los últimos parches de seguridad, tanto para el sistema operativo como para todo el software que se tenga instalado
- Evitar el usuario “Administrador” para el uso general del sistema, ya que no suele ser necesario
- Mostrar extensiones para tipos de fichero conocidos, con el fin de identificar posibles archivos ejecutables que pudieren hacerse pasar por otro tipo de fichero
- Prestar atención cuando se navega por Internet y evitar descargar archivos de origen dudoso o que ofrecen soluciones de seguridad falsas
- No descargar software ilegal o pirata, ya que puede contener malware
Detección
- Disponer de un antivirus con capacidad proactiva de detección y mantenerlo siempre actualizado
- Analizar archivos temporales y carpetas de sistema (%System32%) en búsqueda de ficheros maliciosos
- Buscar nuevas cuentas creadas en todos aquellos sistemas que hayan podido encontrarse afectados. En especial, aquellos usuarios creados con permisos de Administrador
- Investigar comunicaciones realizadas mediante protocolos de trasferencia de archivos (FTP, SSH…)
Mitigación
- Resetear las contraseñas de los sistemas comprometidos
- Proceder a eliminar todas las muestras de malware y sus puntos de persistencia
- Restaurar todos los archivos que hayan sido alterados por el atacante
- Realizar un análisis forense en los equipos sospechosos para determinar que datos han podido ser filtrados
Impulsa la transformación de los negocios y la sociedad mediante soluciones y servicios innovadores, poniendo a las personas en el centro.
Indra es una de las principales compañías globales de tecnología y consultoría: el socio tecnológico para las operaciones clave de los negocios de clientes en todo el mundo.