La banda de ransomware ahora utiliza una falla crítica de Windows en los ataques

Microsoft advierte que los ciberdelincuentes han comenzado a incorporar código de explotación para la vulnerabilidad ZeroLogon en sus ataques. La alarma se produce después de que la compañía notó ataques en curso por parte del grupo de ciberespionaje MuddyWater (SeedWorm) en la segunda quincena de septiembre.

Esta vez, el actor de la amenaza es TA505, un adversario indiscriminado de las víctimas a las que ataca, con un historia desde la distribución del troyano bancario Dridex en 2014.

A lo largo de los años, el actor ha sufrido ataques que distribuyen una amplia variedad de malware, desde puertas traseras hasta ransomware.

Recientemente, las intrusiones de este grupo son seguidas por el despliegue del ransomware Clop, como en el ataque a la Universidad de Maastricht el año pasado que resultó en el pago de un rescate de 30 bitcoins (aproximadamente 220.000 dólares).

Actualizaciones falsas y herramientas legítimas

Microsoft afirma que TA505, que rastrea como Chimborazo, ha implementado una campaña con actualizaciones de software falsas que se conectan a la infraestructura de comando y control (C2) del actor de amenazas.

El propósito de las actualizaciones maliciosas es otorgar a los piratas informáticos más privilegios (omisión de UAC) en el sistema de destino y ejecutar scripts maliciosos.

Para la segunda parte, TA505 utiliza Windows Script Host (WScript.Exe), que le permite ejecutar scripts en varios lenguajes de programación, incluidos VBScript, Python, Ruby, PHP, JavaScript y Perl.

Microsoft dice que los atacantes compilan una versión de la herramienta de post-explotación Mimikatz usando el Motor de compilación de Microsoft (MSBuild.Exe) n para crear aplicaciones.

La versión de Mimikatz obtenido de esta manera incluye el código de explotación para la vulnerabilidad ZeroLogon (CVE-2020-1472). Durante el mes pasado, numerosos investigadores han publicado exploits de prueba de concepto para este defecto.

Lo que Microsoft ha descrito en un breve hilo es un ataque clásico de adquisición de dominio, en el que ZeroLogon es perfecto. Ofrece acceso directo al controlador de dominio, por lo que el atacante ya no necesita perder tiempo obteniendo credenciales de administrador.

Con TA505 involucrado en la actividad de ransomware a gran escala, las organizaciones deben priorizar los parches de seguridad para esta vulnerabilidad, ya que es probable que los ataques similares a los descritos por Microsoft ocurran con más frecuencia.

Detalles de ZeroLogon disponibles

Descubierto por Tom Tervoort de Secura, ZeroLogon permite a los intrusos en una red de dominio aumentar los permisos de nivel de administrador sin necesidad de autenticación.

Tervoort descubrió que podía forzar la conexión a un controlador de dominio a través del protocolo remoto Netlogon en un estado no cifrado (comunicación RPC no segura).

Más tarde, al explotar una falla en el algoritmo de cifrado de Netlogon, es posible falsificar el inicio de sesión de un administrador de dominio. UN reporte técnico está disponible en Secura.

Microsoft ha abordado parcialmente esta vulnerabilidad por ahora al evitar que el controlador de dominio activo de Windows se comunique a través de RPC no seguro. Esta actualización está disponible el 11 de agosto.

Sin embargo, el 9 de febrero, una nueva actualización forzará la misma comunicación segura a todos los dispositivos de la red.

Avisos emitidos

Los administradores de red han recibido repetidas advertencias sobre la gravedad de la vulnerabilidad ZeroLogon (puntuación crítica máxima 10/10) y se les ha instado a aplicar el parche actual.

Con el código de explotación lanzado desde mediados de septiembre (privilegios de administrador de dominio adquiridos en segundos), los actores de amenazas rápidamente avanzaron para incorporarlo en sus ataques.

El 18 de septiembre, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) necesario el poder ejecutivo civil federal para tratar la reparación de defectos como una emergencia.

Microsoft dio la alarma por primera vez el 23 de septiembre, cuando vio a ZeroLogon explotado activamente en los ataques. Luego vino la alarma sobre MuddyWater explotando el exploit.

Ahora son los ciberdelincuentes que lo manejan, una clara señal de que ZeroLogon está a punto de ser adoptado por una amplia gama de grupos de amenazas dirigidos a organizaciones del sector público y privado.

¿Qué te ha parecido?

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Ver más

  • Responsable: NELIDA HAYDEE SALDIVIA.
  • Finalidad:  Moderar los comentarios.
  • Legitimación:  Por consentimiento del interesado.
  • Destinatarios y encargados de tratamiento:  No se ceden o comunican datos a terceros para prestar este servicio. El Titular ha contratado los servicios de alojamiento web a KnownHost que actúa como encargado de tratamiento.
  • Derechos: Acceder, rectificar y suprimir los datos.
  • Información Adicional: Puede consultar la información detallada en la Política de Privacidad.

Subir
DiarioInforme utiliza cookies    Configurar y más información
Privacidad