Coalición de compañías del sector IT tratan de eliminar la botnet TrickBot
Un conglomerado de compañías del sector tecnológico conformado por Microsoft, FS-ISAC, ESET, Lumen’s Black Lotus Labs, NTT, y Symantec, han participado en la eliminación de la botnet TrickBot. Durante los últimos meses, estas compañías han realizado investigaciones sobre la infraestructura, incluidos todos los servidores Command & Control (C2) que la botnet utilizó para controlar los dispositivos infectados y los distintos módulos del malware de TrickBot con el fin de conocer el funcionamiento interno. Para ello, llegaron a recolectar más de 125.000 muestras. En base a estas evidencias, Microsoft ha presentado ante los tribunales la solicitud de que se deshabiliten las direcciones IP, se hagan inaccesibles los servidores C2 y se suspendan todos los servicios a los operadores de dicha botnet. Consecuentemente, dicha solicitud fue aprobada y actualmente se está contactando con ISPs y CERTs de todo el mundo para informar a todos los usuarios afectados. Según las compañías implicadas en esta investigación, la botnet de TrickBot en cuestión habría infectado a más de un millón de equipos informáticos, entre los que se incluyen dispositivos IoT.
Tras conocerse la denuncia ante los tribunales, varias fuentes estarían indicando que los servidores Command & Control (C2) y los dominios eliminados de esta botnet habrían sido reemplazados por una nueva infraestructura. Investigadores de seguridad de ESET, Microsoft y Symantec han informado de que la eliminación completa de Trickbot no iba a ser posible, y estimaban que los efectos de las acciones realizadas serían temporales y limitados. Esto evidenciaría la compleja infraestructura de la botnet, debido a que se ejecuta en sistemas de alojamiento que no colaboran, o actúan lentamente. Asimismo, se indica que los hechos realizados tuvieron efectos directos como un incremento de los costes para el mantenimiento de la botnet TrickBot o retrasos en las operaciones de malware en activo. Otro de los objetivos llevados a cabo era intentar dañar la reputación de TrickBot en el ámbito del Crime as a Service. En último lugar, cabe destacar que Microsoft ha logrado sentar un nuevo precedente legal debido a que demostró que el malware TrickBot utilizó el código de Windows con fines maliciosos, en contra de los términos de servicio del kit de desarrollo de software (SDK).
Más información: https://blogs.microsoft.com/on-the-issues/2020/10/12/trickbot-ransomware-cyberthreat-us-elections/
BazarLoader utilizado para desplegar Ryuk ransomware
Los operadores del grupo TrickBot apuntan cada vez a objetivos más importantes con el uso del nuevo troyano sigiloso BazarLoader antes del despliegue del ransomware Ryuk. El grupo de malware Bazar busca pasar desapercibido a través de la firma de malware y solo carga inicialmente una funcionalidad mínima del código malicioso. Este enfoque mejora la posibilidad de que el malware persista a largo plazo dentro de las redes más seguras. Un compromiso con BazarLoader comienza con un ataque de phishing dirigido. Tras la infección del equipo, BazarLoader utilizará el proceso de vaciado para inyectar el componente BazarBackdoor en procesos legítimos de Windows, creando una tarea programada para cargar BazarLoader cada vez que un usuario inicia sesión en el sistema. Finalmente, BazarBackdoor desplegará una baliza Cobalt Strike que proporciona acceso remoto a los actores de amenazas que instalan herramientas posteriores a la explotación. Algunos investigadores han desarrollado reglas YARA para la detección de BazarBackdoor.
Más detalles: https://www.advanced-intel.com/post/front-door-into-bazarbackdoor-stealthy-cybercrime-weapon
Boletín de seguridad de Microsoft
Microsoft ha publicado su boletín mensual de actualizaciones, conocido como Patch Tuesday, en el que la compañía ha corregido 87 vulnerabilidades en varios de sus productos, de las cuales 12 han sido clasificadas como críticas. El fallo de mayor gravedad (CVE-2020-16898, CVSS 9.8) se trata de una vulnerabilidad RCE en la pila TCP/IP de Windows debido a la forma en la que maneja los mensajes ICMPv6 Router Advertisement (RA). Este fallo podría ser explotado mediante el envío de paquetes ICMPv6 Router Advertisment maliciosos. El fallo CVE-2020-16947, con CVSS 8.1, es una vulnerabilidad de ejecución remota de código (RCE) en Microsoft Outlook, que se podría aprovechar engañando a la víctima para que abra un archivo especialmente diseñado con una versión vulnerable de Outlook. Para estos dos fallos se espera detectar intentos de explotación inminentes. Otras vulnerabilidades a tener en cuenta son otro fallo RCE en SharePoint, CVE-2020-16952 (CVSS 8.6), la cual tiene una PoC disponible, y el fallo CVE-2020-16938 (CVSS 5.5) para el que se ha divulgado información que podría facilitar su explotación. Se recomienda aplicar los parches lo antes posible.
Toda la información: https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/2020-Oct
BleedingTooth: Vulnerabilidad en BlueZ
Tanto Google como Intel están advirtiendo a los usuarios de una vulnerabilidad de severidad alta en BlueZ, la pila del protocolo Bluetooth de los dispositivos basados en Linux. El fallo (CVE-2020-12351, CVSS 8.3), denominado BleedingTooth por Google, puede ser explotado en un ataque Zero-Click por un agente amenaza no autenticado. Un atacante remoto situado a corta distancia que conozca la dirección Bluetooth (BD_ADDR) de la víctima, podría enviar un paquete l2cap malicioso y provocar una denegación de servicio o llegar a elevar sus privilegios a nivel del kernel y lograr la ejecución de código arbitrario. Ambas compañías instan a los usuarios a actualizar el kernel de Linux a la versión 5.9 o superior.
Más detalles: https://github.com/google/security-research/security/advisories/GHSA-h637-c88j-47wq
Nueva campaña de distribución de Emotet
Investigadores de seguridad han detectado una nueva campaña de distribución de Emotet en la que los actores amenaza afirman ser del servicio de Windows Update, e indican a los usuarios que Microsoft Office debe ser actualizado. Con esta nueva forma de distribución, los operadores de Emotet muestran una nueva plantilla, siendo la tercera desde que reapareció el pasado mes de julio. Como es habitual en estos casos, los usuarios que reciben estos correos maliciosos, normalmente desde direcciones legítimas suplantadas o comprometidas, tienen que permitir manualmente que se ejecuten las macros del documento .doc adjunto. Para ello la víctima debe pulsar el botón “Habilitar edición”. Según algunos casos analizados, tras desplegarse Emotet en el equipo de la víctima, se instalaría el troyano TrickBot. Para esta campaña, la distribución estaría siendo masiva, afectando a usuarios de todo el mundo.
Más información: https://www.zdnet.com/article/new-emotet-attacks-use-fake-windows-update-lures/
The post Noticias de Ciberseguridad: Boletín semanal 10-16 de octubre appeared first on Think Big.