Las bandas de ransomware ahora compran vulnerabilidades de día cero, una advertencia sobre chips de memoria vulnerables y la banda Emotet está de regreso.
Bienvenido a Cyber Security Today. Es miércoles 17 de noviembre. Soy Howard Solomon, escritor colaborador sobre ciberseguridad para ITWorldCanada.com.
Cuán lucrativo es el ransomware a las bandas criminales? Lo suficientemente grande como para que algunos de ellos puedan pagar posiblemente millones por vulnerabilidades de día cero. Los exploits de día cero, que son agujeros en las aplicaciones que las empresas de software aún no han descubierto, generalmente solo pueden ser permitidos por grupos de amenazas patrocinados por el estado. Pero según los investigadores de Digital Shadows, algunas bandas de ransomware han acumulado tanto dinero que ahora están pujando por ellas. Esta puede ser la razón por la que quienes descubren y venden estos exploits han trasladado sus subastas a foros de ciberdelincuentes, dice el informe. Esto es parte de la investigación de la compañía sobre el descubrimiento y venta de vulnerabilidades sin parche. Un hallazgo importante: la gran mayoría de las discusiones en los foros de ciberdelincuentes se refieren a vulnerabilidades más antiguas que los equipos de seguridad aún no han parcheado adecuadamente. Una recomendación importante: los departamentos de TI necesitan un sistema para priorizar qué errores se solucionan primero.
Aquí hay algo más para que los gerentes de TI se preocupen: los chips de memoria en servidores, computadoras de escritorio y teléfonos inteligentes pueden ser más vulnerables al robo de datos de lo que se pensaba en un principio. La táctica se llama ataque Rowhammer. Se supone que las mitigaciones en los chips DRAM previenen este tipo de ataque, pero en 2014 los investigadores descubrieron una vulnerabilidad. En ese momento, los investigadores dijeron que un ataque Rowhammer podría funcionar en el 31 por ciento de los dispositivos actuales. Su nueva investigación dice que se ha encontrado una técnica que fue efectiva en el 100 por ciento de los 40 dispositivos que se probaron. Se advirtió a los fabricantes de chips de memoria. La cuestión es que, incluso si la investigación es precisa, los chips DRAM no se pueden parchear. Un experto del Instituto SANS dijo que esto hace mella en el mito de que los procesos se pueden separar en hardware altamente integrado. Es posible que las organizaciones deban evitar los sistemas compartidos como la computación en la nube para cargas de trabajo sensibles, escribió.
Más malas noticias: La botnet de malware Emotet ha vuelto. No tan grande como lo era a principios de año antes de que las agencias de aplicación de la ley y los investigadores de ciberseguridad destruyeran sus servidores de comando y control. Sin embargo, según un sitio de noticias de ciberseguridad llamado The Record, quienes están detrás de la botnet TrickBot están ayudando a la pandilla Emotet a volver al negocio. Emotet es un paquete de herramientas e infraestructura que los piratas informáticos pueden alquilar como un servicio para irrumpir en las organizaciones. Por lo general, se propaga mediante archivos adjuntos de Microsoft Word infectados por correo electrónico. Parece que la pandilla Emotet en este momento confía en TrickBot para ayudar a crear una nueva infraestructura y no se ha visto una distribución activa de malware. Hasta aquí.
ACTUALIZAR: El Instituto SANS informó haber visto spam utilizando componentes de Emotet en archivos adjuntos con una hoja de cálculo de Microsoft Excel, un documento de Microsoft Word y un archivo zip protegido con contraseña (con la contraseña BMIIVYHZ) que contiene un documento de Word.
He dicho antes que los usuarios de dispositivos Android deben tener cuidado con las aplicaciones que descargan. Aquí hay otra razón: los investigadores de una empresa llamada Cleafy han descubierto un nuevo malware de Android destinado a robar contraseñas de bancos e intercambios de criptomonedas en los EE. UU., El Reino Unido e Italia. El malware inicia transferencias de dinero de una manera que pasa por alto la autenticación multifactor en los dispositivos de las víctimas. Las víctimas no se dan cuenta de que han sido atacadas porque el malware coloca una superposición en la parte superior de la página de inicio de sesión de su banco. La víctima cree que está escribiendo su contraseña en la aplicación del banco; en cambio, está siendo capturado por el malware de aspecto idéntico. ¿Cómo se infectan las víctimas? Al descargar lo que creen que son utilidades que ofrecen la posibilidad de mostrar TV en vivo, recuperar datos o reproducir archivos de video y audio. Una cosa que este malware necesita es la capacidad de utilizar los servicios de accesibilidad de Android. Entonces, después de instalar el malware, le pide al usuario repetidamente acceso a esta capacidad. Esa es una señal de que esto es malware. Las aplicaciones legítimas aceptan un no por respuesta.
Finalmente, Los administradores de red que utilizan Latronix PremierWave 2050 Web Manager para administrar sistemas Wi-Fi basados en Latronix deben ser conscientes de que se han encontrado varias vulnerabilidades. Según los investigadores de Cisco Systems, hasta el lunes no había parches disponibles. Algunos sistemas de detección de intrusos pueden detectar intentos de explotación.
Eso es todo por ahora Recuerde que los enlaces a los detalles sobre las historias de los podcasts están en la versión de texto en ITWorldCanada.com. Ahí es donde también encontrarás otras historias mías.
Siga Cyber Security Today en Apple Podcasts, Google Podcasts o agréguenos a su Flash Briefing en su altavoz inteligente.