Los investigadores compilan una lista de vulnerabilidades de ransomware abusadas por pandillas

Los investigadores de seguridad están compilando una lista fácil de seguir de vulnerabilidades que las bandas de ransomware y sus afiliados utilizan como acceso inicial a las redes de las víctimas de violaciones.

Todo esto empezó con un llamado a la acción de Allan Liska, miembro del CSIRT (Equipo de respuesta a incidentes de seguridad cibernética) de Recorded Future, en Twitter durante el fin de semana.

Desde entonces, con la ayuda de muchos otros colaboradores que se han unido a sus esfuerzos, la lista ha crecido rápidamente para incluir fallas de seguridad encontradas en los productos de más de una docena de proveedores diferentes de software y hardware.

Si bien estos errores han sido o siguen siendo explotados por un grupo de ransomware u otro en ataques pasados ​​y en curso, la lista también se ha ampliado para incluir defectos explotados activamente, según lo declarado por el investigador de seguridad Pancak3. explicado.

La lista viene en forma de diagrama que proporciona a los defensores un punto de partida para proteger su infraestructura de red de los ataques entrantes de ransomware.

Vulnerabilidades atacadas por grupos de ransomware en 2021

Solo este año, los grupos de ransomware y sus afiliados han agregado múltiples exploits a su arsenal, apuntando a las vulnerabilidades explotadas activamente.

Por ejemplo, esta semana, un número desconocido de afiliados de ransomware como servicio comenzaron a usar exploits de RCE que apuntan a la vulnerabilidad MSHTML de Windows recientemente parcheada (CVE-2021-40444).

A principios de septiembre, Conti ransomware también comenzó a apuntar a los servidores de Microsoft Exchange, violando las redes corporativas utilizando exploits de vulnerabilidad ProxyShell (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207).

En agosto, LockFile comenzó a aprovechar el método de ataque de retransmisión NTLM PetitPotam (CVE-2021-36942) para conquistar el dominio de Windows en todo el mundo, Magniber se subió al tren de explotación PrintNightmare (CVE-2021-34527) y eCh0raix ha sido detectado apuntando a QNAP y dispositivos Synology NAS (CVE-2021-28799).

El ransomware HelloKitty se enfocó en dispositivos SonicWall vulnerables (CVE-2019-7481) en julio, mientras que REvil pirateó la red de Kaseya (CVE-2021-30116, CVE-2021-30119 y CVE-2021-30120) y alcanzó aproximadamente 60 MSP usando un servidor local. VSA y 1500 clientes comerciales posteriores [1, 2, 3].

El ransomware FiveHands se comprometió a explotar la vulnerabilidad CVE-2021-20016 SonicWall antes de ser reparado a fines de febrero de 2021, informó Mandiant en junio.

QNAP también advirtió sobre los ataques de ransomware AgeLocker en dispositivos NAS utilizando una falla no revelada en firmware obsoleto en abril, justo cuando una campaña masiva de ransomware Qlocker apuntó a dispositivos QNAP sin parches contra una vulnerabilidad de credenciales cifradas (CVE-2021-28799).

El mismo mes, Cring ransomware comenzó a encriptar dispositivos Fortinet VPN sin parchear (CVE-2018-13379) en las redes de empresas industriales después de una advertencia conjunta del FBI y CISA de que los actores de amenazas buscaban dispositivos Fortinet vulnerables.

En marzo, los servidores de Microsoft Exchange de todo el mundo se vieron afectados por Black Kingdom [1, 2] y el ransomware DearCry como parte de una ola masiva de ataques dirigidos a sistemas sin parche contra vulnerabilidades de ProxyLogon (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065).

Por último, pero no menos importante, los ataques de ransomware Clop contra servidores Accellion (CVE-2021-27101, CVE-2021-27102, CVE-2021-27103, CVE-2021-27104) que tuvieron lugar entre mediados de diciembre de 2020 y continuaron hasta enero de 2021. e impulsó el precio medio de rescate durante los tres primeros meses del año.

Lucha contra una creciente amenaza de ransomware

El ejercicio de Liska y sus colaboradores se suma al esfuerzo continuo para defenderse de los ataques de ransomware que han plagado a las organizaciones del sector público y privado en todo el mundo durante años.

El mes pasado, a CISA se unieron Microsoft, Google Cloud, Amazon Web Services, AT&T, Crowdstrike, FireEye Mandiant, Lumen, Palo Alto Networks y Verizon como parte de la asociación Joint Cyber ​​Defense Collaborative (JCDC) centrada en promover la infraestructura crítica de ransomware y otras amenazas cibernéticas.

La agencia federal también lanzó en junio una nueva herramienta de verificación de seguridad de autoevaluación de ransomware diseñada para ayudar a las organizaciones en riesgo a comprender si están equipadas para defenderse y recuperarse de ataques de ransomware dirigidos a tecnología de la información (TI), tecnología operativa (OT) o activo del sistema de control industrial (ICS).

CISA proporciona una Lista de verificación de respuesta al ransomware para las organizaciones que han sido afectadas por un ataque de ransomware, consejos sobre cómo protegerse del ransomware, y responde a preguntas frecuentes sobre ransomware.

El Equipo de Respuesta a Emergencias Cibernéticas de Nueva Zelanda (CERT NZ) también emitió recientemente un guía de protección contra ransomware para empresas.

La guía de CERT NZ describe las rutas de ataque de ransomware e ilustra qué controles de seguridad se pueden configurar para proteger o detener un ataque.

Guía de ataques de ransomware CERT NZ
Guía de ataques de ransomware CERT NZ

¿Qué te ha parecido?

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir