La reciente difusión de la herramienta distribuida de denegación de servicio intenta explotar una docena de fallas web, utiliza relleno de credenciales y está diseñada para trabajar contra una variedad de sistemas operativos.
Una operación cibercriminal con el objetivo de extenderse entre los servidores de aplicaciones web ha tenido un éxito moderado, utilizando sistemas comprometidos para la criptominería Monero, para crear una botnet para ataques de denegación de servicio y para extenderse aún más a las redes empresariales, dijeron el miércoles investigadores de Palo Alto Networks. .
Los desarrolladores de la herramienta de ataque parecen estar apuntando a crear una plataforma de propósito general para una amplia variedad de ataques, desde ataques distribuidos de denegación de servicio (DDoS) hasta criptominería hasta la creación de botnets, advirtió la compañía. Llamado Satan DDoS por los desarrolladores, la herramienta probablemente no solo apuntará a computadoras con Windows y servidores Linux, sino también a dispositivos y sistemas de Internet de las cosas que se ejecutan en los procesadores ARM y MIPS, según los mensajes encontrados en el código.
Hasta ahora, el malware ha tenido cierto éxito, especialmente en la región de Asia y el Pacífico, dice Ken Hsu, investigador senior de seguridad de la Unidad 42 de Palo Alto Networks.
"Debido a que puede monetizar sus ataques, así como establecer una operación de comando y control, atrae a una amplia variedad de atacantes", dice. "La cantidad de alertas que observamos sugiere que las compañías deberían intensificar sus medidas de seguridad, no solo a través de parches de software sino también fortaleciendo la política de seguridad y el cumplimiento, [como] el fortalecimiento de la contraseña".
La propagación del malware DDoS y cryptojacking destaca que los ciberdelincuentes no tienen que usar los exploits más recientes para comprometer con éxito los servidores en Internet. Los investigadores de Palo Alto descubrieron inicialmente el malware después de que comprometía repetidamente las aplicaciones web al usar un exploit para una vulnerabilidad de 16 meses (CVE-2019-9081) en el marco PHP de Laravel.
Entre las vulnerabilidades explotadas por el software se encuentran una única vulnerabilidad reportada en 2020 y otra de 2019, pero principalmente problemas más antiguos: tres vulnerabilidades de 2018, cinco de 2017 y una sola falla de 2014. Las vulnerabilidades apuntan al servidor de archivos Rejetto HTTP, Jenkins , Oracle Weblogic, Drupal, Apache Struts, Laravel framework y Microsoft Windows. Todos los problemas se consideran severidad alta o crítica, indicaron los investigadores de Palo Alto en el aviso. El malware también utiliza relleno de credenciales en puertos de acceso remoto y Microsoft SQL, utilizando una breve lista de nombres de usuario y contraseñas.
Una vez en un servidor, el software carga y ejecuta varios exploits conocidos tomados del tesoro de herramientas de ciberataque filtradas de la Agencia de Seguridad Nacional, incluidos EternalBlue, EternalRomance y la puerta trasera DoublePulsar. Si bien las vulnerabilidades son antiguas, el software se ha extendido con éxito en la naturaleza, según el informe.
"Si bien las vulnerabilidades abusadas y las tácticas de ataque aprovechadas por este malware no son nada originales, una vez más entregan un mensaje a todas las organizaciones, recordándoles por qué es tan importante mantener los sistemas actualizados siempre que sea posible, eliminar credenciales débiles y tener un capa de defensas para el aseguramiento ", declararon los investigadores en el aviso.
Los investigadores descubrieron dos versiones del malware: una que comenzó a propagarse el 29 de mayo y la otra que se activó el 11 de junio. El desarrollador del malware se refiere a él como Satan DDoS, pero debido a que otras familias de malware usan un nombre similar, Los investigadores de Palo Alto decidieron marcar el malware "Lucifer".
La segunda versión del software continúa centrándose en la criptominería, intentando instalar un componente llamado XMRig para minería. Además, el desarrollador agregó una funcionalidad rudimentaria anti-sandbox para que los ingenieros de Stymy reversa analizaran el código. El software más nuevo agrega funciones para infectar a través de otros cuatro protocolos, el Protocolo de transferencia de archivos (FTP), por ejemplo, y verifica si el idioma predeterminado es el chino.
El malware no ha sido particularmente exitoso en la minería de Monero, acumulando solo 0.49 XMR, alrededor de US $ 32. Sin embargo, la criptominería se ha convertido en un gran foco de los ciberdelincuentes que buscan una manera fácil de monetizar los sistemas comprometidos. En octubre, por ejemplo, unos 2.000 hosts Docker fueron infectados por un gusano relativamente básico que explotó las configuraciones erróneas para descargar y ejecutar software de criptojacking como contenedor. El programa, denominado Graboid por los atacantes, busca demonios Docker desprotegidos y luego envía comandos para instalar imágenes maliciosas desde Docker Hub.
Mucho más pernicioso es la capacidad del malware para usar una variedad de métodos, como las vulnerabilidades de Windows y los ataques de diccionario, para moverse lateralmente dentro de una red, dice Hsu. Muchos de estos son antiguos, pero los autores de malware no necesitan usar los últimos exploits, porque saben que los antiguos deberían ser suficientes, dice.
Una operación cibercriminal con el objetivo de extenderse entre los servidores de aplicaciones web ha tenido un éxito moderado, utilizando sistemas comprometidos para la criptominería Monero, para crear una botnet para ataques de denegación de servicio y para extenderse aún más a las redes empresariales, dijeron el miércoles investigadores de Palo Alto Networks. .
Los desarrolladores de la herramienta de ataque parecen estar apuntando a crear una plataforma de propósito general para una amplia variedad de ataques, desde ataques distribuidos de denegación de servicio (DDoS) hasta criptominería hasta la creación de botnets, advirtió la compañía. Llamado Satan DDoS por los desarrolladores, la herramienta probablemente no solo apuntará a computadoras con Windows y servidores Linux, sino también a dispositivos y sistemas de Internet de las cosas que se ejecutan en los procesadores ARM y MIPS, según los mensajes encontrados en el código.
Hasta ahora, el malware ha tenido cierto éxito, especialmente en la región de Asia y el Pacífico, dice Ken Hsu, investigador senior de seguridad de la Unidad 42 de Palo Alto Networks.
"Debido a que puede monetizar sus ataques, así como establecer una operación de comando y control, atrae a una amplia variedad de atacantes", dice. "La cantidad de alertas que observamos sugiere que las compañías deberían intensificar sus medidas de seguridad, no solo a través de parches de software sino también fortaleciendo la política de seguridad y el cumplimiento, [como] el fortalecimiento de la contraseña".
La propagación del malware DDoS y cryptojacking destaca que los ciberdelincuentes no tienen que usar los exploits más recientes para comprometer con éxito los servidores en Internet. Los investigadores de Palo Alto descubrieron inicialmente el malware después de que comprometía repetidamente las aplicaciones web al usar un exploit para una vulnerabilidad de 16 meses (CVE-2019-9081) en el marco PHP de Laravel.
Entre las vulnerabilidades explotadas por el software se encuentran una única vulnerabilidad reportada en 2020 y otra de 2019, pero principalmente problemas más antiguos: tres vulnerabilidades de 2018, cinco de 2017 y una sola falla de 2014. Las vulnerabilidades apuntan al servidor de archivos Rejetto HTTP, Jenkins , Oracle Weblogic, Drupal, Apache Struts, Laravel framework y Microsoft Windows. Todos los problemas se consideran severidad alta o crítica, indicaron los investigadores de Palo Alto en el aviso. El malware también utiliza relleno de credenciales en puertos de acceso remoto y Microsoft SQL, utilizando una breve lista de nombres de usuario y contraseñas.
Una vez en un servidor, el software carga y ejecuta varios exploits conocidos tomados del tesoro de herramientas de ciberataque filtradas de la Agencia de Seguridad Nacional, incluidos EternalBlue, EternalRomance y la puerta trasera DoublePulsar. Si bien las vulnerabilidades son antiguas, el software se ha extendido con éxito en la naturaleza, según el informe.
"Si bien las vulnerabilidades abusadas y las tácticas de ataque aprovechadas por este malware no son nada originales, una vez más entregan un mensaje a todas las organizaciones, recordándoles por qué es tan importante mantener los sistemas actualizados siempre que sea posible, eliminar credenciales débiles y tener un capa de defensas para el aseguramiento ", declararon los investigadores en el aviso.
Los investigadores descubrieron dos versiones del malware: una que comenzó a propagarse el 29 de mayo y la otra que se activó el 11 de junio. El desarrollador del malware se refiere a él como Satan DDoS, pero debido a que otras familias de malware usan un nombre similar, Los investigadores de Palo Alto decidieron marcar el malware "Lucifer".
La segunda versión del software continúa centrándose en la criptominería, intentando instalar un componente llamado XMRig para minería. Además, el desarrollador agregó una funcionalidad rudimentaria anti-sandbox para que los ingenieros de Stymy reversa analizaran el código. El software más nuevo agrega funciones para infectar a través de otros cuatro protocolos, el Protocolo de transferencia de archivos (FTP), por ejemplo, y verifica si el idioma predeterminado es el chino.
El malware no ha sido particularmente exitoso en la minería de Monero, acumulando solo 0.49 XMR, alrededor de US $ 32. Sin embargo, la criptominería se ha convertido en un gran foco de los ciberdelincuentes que buscan una manera fácil de monetizar los sistemas comprometidos. En octubre, por ejemplo, unos 2.000 hosts Docker fueron infectados por un gusano relativamente básico que explotó las configuraciones erróneas para descargar y ejecutar software de criptojacking como contenedor. El programa, denominado Graboid por los atacantes, busca demonios Docker desprotegidos y luego envía comandos para instalar imágenes maliciosas desde Docker Hub.
Mucho más pernicioso es la capacidad del malware para usar una variedad de métodos, como las vulnerabilidades de Windows y los ataques de diccionario, para moverse lateralmente dentro de una red, dice Hsu. Muchos de estos son antiguos, pero los autores de malware no necesitan usar los últimos exploits, porque saben que los antiguos deberían ser suficientes, dice.
"Lucifer es capaz de autopropagarse y de obtener credenciales de fuerza bruta, por lo que los atacantes pueden tener un tremendo impacto en sus víctimas una vez que se afianzan", dice Hsu.
Las empresas deben mantener los sistemas actualizados, implementar políticas de contraseñas sólidas y tener inteligencia de amenazas para adaptarse a los últimos ataques, dice Hsu. En su mayor parte, los agujeros en la cobertura de ciberseguridad de las empresas continúan brindando oportunidades para los atacantes, incluso utilizando exploits más antiguos.
"No todas las empresas tienen una fuerte conciencia de ciberseguridad", dice. "Hacer la ciberseguridad adecuadamente requiere una asignación de recursos no trivial, y la ciberseguridad no siempre es su prioridad número uno para las empresas".
Las empresas deben mantener los sistemas actualizados, implementar políticas de contraseñas sólidas y tener inteligencia de amenazas para adaptarse a los últimos ataques, dice Hsu. En su mayor parte, los agujeros en la cobertura de ciberseguridad de las empresas continúan brindando oportunidades para los atacantes, incluso utilizando exploits más antiguos.
"No todas las empresas tienen una fuerte conciencia de ciberseguridad", dice. "Hacer la ciberseguridad adecuadamente requiere una asignación de recursos no trivial, y la ciberseguridad no siempre es su prioridad número uno para las empresas".
Fuente: https://www.darkreading.com/
No olvides Compartir...
Siguenos en twitter: @disoftin - @fredyavila
0 Comentarios