CLM y Picus analizan cinco ciberamenazas
728 x 90 px
Es otro mes agitado para los CISOS, el informe de Picus Security, solución pionera en protección de ataques (BAS – Breach and Attack Simulation), muestra el surgimiento de campañas de ataques cibernéticos provocadas por nuevos grupos de hackers y familias de malware.
Entre los más significativos se encuentran: Ransomware Maui, que utiliza un método de cifrado híbrido que involucra AES, cifrado RSA y codificación XOR que aumenta su impacto; Green Stone Malware Dropper, que envía documentos abiertos XML, la cual contiene una macro maliciosa que descomprime y funciona en un ejecutable, con recursos de espionaje, en un directorio temporal, que evita su detección por la mayoría de los antivirus.
El Ransomware HavanaCrypt fue uno más que apareció en julio de 2022. Se disfraza de una aplicación legítima de Google Software y utiliza una dirección IP que pertenece a un servicio de alojamiento de Microsoft como su servidor C2 para evitar la detección. Otro ataque fue el de un ransomware que utiliza el método de doble extorsión: roba los datos confidenciales, encriptándolos y liberando una nota de rescate con una dirección de chat en Browser Tor, los más utilizados para acceder a DeepWeb (y por lo tanto DarkWeb).
(Automático aquí)
El Ransomware H0lyGh0st, aunque ha estado actuando desde 2021, está nuevamente vigente con una variante de malware más persistente y mejorado, el BTLC.exe.
«Sin la resiliencia cibernética, las empresas, las entidades gubernamentales y otras organizaciones seguramente se convertirán en las próximas víctimas de ransomware y muchos otros ataques cibernéticos, como hemos visto en todo el mundo», advierte Tom Camargo, VP de CLM, distribuidor latinoamericano de valor agregado enfocado en seguridad de la información, protección de datos, infraestructura para data centers e cloud.
Para el ejecutivo de CLM, que distribuye la tecnología PICUS en América Latina, en este escenario extremadamente dinámico y marcado por la aparición de nuevos grupos ciber criminales, actuando con nuevas formas de ataque, la agilidad en respuesta es cada vez más esencial para evitar el secuestro de datos y otros males causados por un número creciente de amenazas virtuales.
“El apoyo a las tecnologías que simulan rápidamente ataques permiten probar la efectividad de los controles de seguridad. Picus Labs ha incluido simulaciones de los diversos ataques registrados en julio en Picus Threat Library, actualización en tiempo real de la plataforma Picus Complete Security Control Validation”.
Vea los detalles de los cinco ataques principales en este período a continuación:
Ransomware Maui
La Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA), el Departamento del Tesoro de los Estados Unidos y el Federal Bureau of Investigation (FBI) publicó una declaración conjunta el 6 de julio sobre un agente de amenaza virtual basada en Corea del Norte que utilizó, el ransomware Maui. Los grupos afiliados a este ransomware se conocen principalmente al infligir ataques de ransomware, al parecer, patrocinado por el gobierno de Corea del Norte en los sectores de salud. Maui emplea un solo método de extorsión, por lo tanto, no exfiltra los datos ni elimina backups del sistema.
Curiosamente, no emplea la técnica de movimiento lateral (cuando el atacante se extiende desde un punto o una cuenta no confidencial al resto de la red) y no envía una nota a sus víctimas para pagar el rescate. Sin embargo, Maui utiliza un método de cifrado híbrido combinando AES, cifrado RSA y codificación XOR para aumentar el impacto. Mientras que el algoritmo RSA genera un nuevo par de claves públicas yprivadas, el algoritmo AES cifra cada archivo en modo CBC. Una vez que cada archivo es encriptado con una clave secreta única estas llaves secretas están cifradas con la llave pública que se genera al principio del ataque. Picus Threat Library incluyó las siguientes amenazas para el ransomware Maui:
| ID de amenaza | Nombre de amenaza |
| 56700 | Maui Ransomware Download Threat (Network Infiltration) |
| 64940 | Maui Ransomware Email Threat (Email Infiltration (Phishing)) |
Green Stone Malware Dropper
A finales de julio, muchas compañías iraníes recibieron un documento Office Open XML, que contiene una macro maliciosa cuyas funciones descomprimen y ejecutan un ejecutable en un directorio temporal, lo cual es una práctica común empleada en ataques cibernéticos para evitar la detección. Los análisis posteriores mostraron que el ejecutable tiene capacidad de espionaje cibernético. Recopila información sobre el sistema operativo, toma capturas de pantalla y envía los datos recopilados a un servidor remoto.
El análisis de este malware apunta a una técnica inusual de intercambio de comandos utilizando un bot del Telegram. Esta técnica evita comunicaciones innecesarias con un servidor remoto y oculta el servidor C2.
“Al igual que muchos grupos que usan APT (advanced persistent threat) prefieren incorporar contenido malicioso en un documento inofensivo, las empresas deben conocer las posibles amenazas de los correos electrónicos y evaluar la efectividad de su protección XDR contra el spam, el Phishing y varios malwares, al igual que el Green Stone Malware Dropper”, recomienda Camargo.
