Ver a versão em português.

Compass —Edición #7

Morphus Cybersecurity
morphusblog-es
6 min readJun 12, 2020

--

Aumento en la comercialización de datos en la Dark Web

Según un estudio publicado por la empresa rusa Positive Technologies, en el primer trimestre de 2020, el número de publicaciones que anuncian la venta de credenciales y el acceso directo a alguna red corporativa aumentó un 69% en comparación con el trimestre anterior. Esto puede representar un riesgo significativo para las empresas, especialmente en este período, con la fuerte adopción del trabajo remoto. Se comercializan principalmente accesos a empresas industriales, empresas de servicios, finanzas, educación y tecnología de la información.

Verificando por geolocalización, el objetivo principal son las empresas estadounidenses (más de un tercio del total), seguidas de Italia y el Reino Unido (5,2% cada una), Brasil (4,4%) y Alemania (3,1%).

Cada año, el equipo de seguridad de Verizon publica un informe llamado Informe de incidentes de violación de datos, más conocido como DBIR
(Data Breach Investigations Report). DBIR 2020 muestra que las credenciales robadas son uno de los principales métodos involucrados en las violaciones
de datos. Más del 80% de las violaciones involucran ataques de fuerza bruta o el uso de credenciales robadas.

Brasil es líder en empresas atacadas por ransomware

Según el análisis realizado recientemente por Dmitry Bestuzhev, director del equipo de investigación global y análisis de Kaspersky en América Latina, se refirió a un aumento constante en ataques dirigidos con ransomware en los últimos meses, siendo Brasil el país líder de tales ataques. Como ya habíamos mencionado en la edición 3, Maze Ransomware es actualmente uno de los más actuantes y ha aprovechado el aumento significativo de los sistemas accesibles vía servicio Remote Desktop Protocol (RDP).

La “doble extorsión” es una estrategia donde los ciberdelincuentes amenazan a la victima con publicar los datos comprometidos, caso el pedido del rescate no sea atendido. Esta táctica se ha vuelto popular en la mayoría de los ransonwares. Para obtener más información sobre esta táctica, escuche o vea nuestro Morphuscast.

Spam e Phishing Q1 2020

Kaspersky, empresa de software de seguridad rusa, famosa por su antivirus, publicó un informe con información sobre spam y e-mail phishing durante el primer trimestre de 2020.

En esto, Rusia lideró los cinco principales países en la cantidad de spam enviado. Representó el 20.74% de todo el tráfico no solicitado. El 2.º lugar fue para EE. UU. (9,64%), seguido de Alemania (9,41%). Francia se ubica en el 4.º lugar con (6.29%) y en 5.º lugar China (5.22%), que generalmente es uno de los 3 primeros en el ranking. El país con la mayor proporción de usuarios atacados por phishers, no siendo la primera vez, fue Venezuela (20.53%).
En segundo lugar, Brasil (14.95%), que generalmente está entre el Top 3.

Otro dato importante tomado de DBIR 2020, es que el phishing es el principal medio utilizado por los cibercriminales en violaciones de datos.

En vista del escenario actual del trabajo remoto, que debería permanecer en la mayoría de las empresas incluso después de la pandemia, muchas de ellas pasaron a tener varios ambientes que deben proteger y muchos han perdido la gestión centralizada de los activos tecnológicos, y todos estos puntos deben ser enfrentados con una otra postura de seguridad.

Se debe dar prioridad a las actualizaciones de los sistemas y aplicaciones y a la adopción de buenas prácticas de seguridad internas, externas y de terceros; utilizar conexiones seguras para acceso remoto (por ejemplo, VPN), revisar políticas de acceso remoto, ajustar y revisar constantemente los filtros de e-mail, entre otros. desde el punto de vista de la concientización de los usuarios, se deben usar contraseñas fuertes, contraseñas únicas y la verificación del segundo factor (2FA) siempre que sea posible.

También se recomienda la adopción de gerenciadores de contraseñas (Password Managers) o cofre de contraseñas.

Microsoft Patch Tuesday de Junio

Cada 2º Martes de cada mes, Microsoft publica regularmente patches de (corrección de errores) de software para sus productos.

Para acompañar estas correcciones mensualmente a través de nuestro dashboard acceda aquí.

En el patch de este mes, se han corregido 130 vulnerabilidades, de las cuales 12 son críticas. Este es el Patch Tuesday de Microsoft de 2020 con la mayor cantidad de correcciones. Según Microsoft, ninguna de estas vulnerabilidades ha sido revelada previamente o está siendo explotada.

La mayoría de las 130 vulnerabilidades corregidas tienen un impacto en la escalada de privilegios, es decir, al aplicar estas correcciones, se mitiga el riesgo de que el software malicioso use una de estas vulnerabilidades para realizar acciones con privilegios administrativos, como la desinstalación del software antivirus.Veinticuatro de estas vulnerabilidades con potencial de ejecución remota de código (RCE) se corrigieron en este Patch Tuesday.

Desde el sistema de puntuación común de vulnerabilidad, conocido como Common Vulnerability Scoring System o CVSS v3, se ha alcanzado la puntuación más alta este mes (8,60), en una escala de 0 a 10, y se ha atribuido a una vulnerabilidad de gravedad importante y de impacto de “information disclosure” en el protocolo SMBv3 (CVE-2020–1206).

El SMB (Server Message Block), es un protocolo de red que proporciona la base para compartir archivos, navegación, servicios de impresión y comunicación entre procesos a través de una red. Esta es una vulnerabilidad crítica más en este protocolo, en menos de 3 meses. Apodado “SMBleed”, este protocolo afecta a Windows 10 y Server versiones 1903 y 1909.

Explotación de la vulnerabilidad SMBGhost

La vulnerabilidad denominada “SMBGhost” y rastreada como CVE-2020–0796, permite la ejecución remota de código (RCE) en la forma en que el protocolo SMBv3 (Microsoft Server Message Block 3.1.1) maneja ciertas solicitudes.

Aunque Microsoft haya lanzado y proporcionado actualizaciones para esta vulnerabilidad en marzo de 2020, los delincuentes cibernéticos están apuntando a sistemas sin corrección con el nuevo PoC (Proof of Concept) de un exploit revelado públicamente.

Dos fallas críticas recientemente descubiertas en Zoom

Investigadores de ciberseguridad de Cisco Talos descubrieron 2 vulnerabilidades críticas en el software Zoom.

El primer defecto (CVE-2020–6109) está relacionado con el uso del GIF en la plataforma, lo que puede permitir a los posibles atacantes engañar a la aplicación para que guarde archivos maliciosos disfrazados de GIF en cualquier parte del sistema de la víctima.

La segunda vulnerabilidad (CVE-2020–6110) viene con la función de extracción de archivos zip de Zoom, que no valida el contenido del archivo antes de extraerlo, permitiendo al atacante plantar archivos maliciosos en las computadoras de las víctimas. La corrección de las fallas mencionadas está aplicada en la versión 4.6.12 de la aplicación cliente Zoom.

REFERENCIAS:

--

--

Morphus Cybersecurity
morphusblog-es

Há 17 anos, tratando cibersegurança como ciência aplicada.