30 minutos o menos: los ataques rápidos extorsionan a las organizaciones sin ransomware - Calendae | Informática, Electrónica, CMS, Ciberseguridad

30 minutos o menos: los ataques rápidos extorsionan a las organizaciones sin ransomware

Hola otra vez. Yo soy Eduardo Arroyo y esta vez hablaremos sobre 30 minutos o menos: los ataques rápidos extorsionan a las organizaciones sin ransomware

30 minutos o menos: los ataques rápidos extorsionan a las organizaciones sin ransomware

SnapMC Group, previamente desconocido, aprovecha las VPN sin parches y las aplicaciones de servidor web para piratear sistemas y realizar extorsiones rápidas en menos tiempo que pedir una pizza.

En menos tiempo del que se tarda en recibir una pizza de masa rellena, un nuevo grupo llamado SnapMC puede piratear los sistemas de una organización, robar sus datos confidenciales y exigir un pago para evitar que se publique, según un nuevo. Informe del Equipo de Inteligencia de Amenazas del Grupo NCC – no se requiere ransomware.

En lugar de interrumpir las operaciones comerciales bloqueando los datos y sistemas de un objetivo, SnapMC se enfoca solo en la extorsión directa. Sin embargo, este enfoque de extorsión de baja tecnología y libre de ransomware en una línea de tiempo comprimida se basa en vulnerabilidades parcheadas fácilmente disponibles.

«En los correos electrónicos de extorsión que vimos de SnapMC, les dimos a las víctimas 24 horas para ponerse en contacto y 72 horas para negociar», dice el informe. «Estos plazos rara vez se cumplen, ya que vimos que el delantero comenzó a aumentar la presión mucho antes de que la cuenta regresiva llegara a cero».

Los investigadores no pudieron vincular al grupo con ningún actor de amenazas conocido y lo nombraron por su velocidad («Snap») y su herramienta de exfiltración mc.exe favorita.

Como prueba de que el grupo tiene los datos, SnapMC proporciona a las víctimas una lista de los datos extraídos. Si no logran negociar dentro del plazo, los atacantes amenazan con publicar los datos e informar de la infracción a los clientes y los medios de comunicación.

Los analistas dijeron que observaron que SnapMC hackeaba con éxito VPN vulnerables y sin parches utilizando el CVE-2019-18935 Error en la ejecución remota de código en la interfaz de usuario de Telerik para ASPX.NET y en aplicaciones de servidor web que usan inyección SQL.

Un reciente aumento en las vulnerabilidades de las VPN ha dejado expuestas a las empresas, según Hank Schless, gerente senior de seguridad en la nube de Lookout.

«Si bien las soluciones VPN tienen su lugar, ha habido más historias de vulnerabilidades dentro de estas soluciones que se han explotado en la naturaleza», dijo Schless a Threatpost. «Asegurar que solo los usuarios o dispositivos autorizados y seguros puedan acceder a la infraestructura corporativa requiere políticas de Zero Trust Network Access (ZTNA) para aplicaciones locales o privadas y capacidades de Cloud Access Security Broker (CASB) para aplicaciones e infraestructura basadas en la nube».

En junio pasado, Colonial Pipeline fue pirateado con una antigua contraseña de VPN. Y en julio pasado, SonicWall lanzó un parche para un error en sus modelos de VPN más antiguos que ya no son compatibles con la compañía después de que salieron a la luz los ataques, que eran parte de una campaña en curso más amplia para explotar (CVE-2019-7418).

El mes siguiente, Cisco Systems lanzó un puñado de parches para enrutadores VPN de 8.800 Gigabit comprometidos a través de CVE-2021-1609.

Y a fines del mes pasado, la Agencia de Seguridad Nacional (NSA) y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CSIA) emitieron una guía para el Departamento de Defensa, los Sistemas de Seguridad Nacional y la Base Industrial de Defensa para fortalecer sus VPN contra amenazas de múltiples estados-nación avanzados. Actores de amenazas persistentes (APT).

Dejando a un lado los actores del estado nacional, el parche básico protegería contra este último intento de extorsión de datos por parte de SnapMC.

Oliver Tavakoli, CTO de Vectra, dijo que eliminar por completo la parte de cifrado del ataque es una «evolución natural» del modelo de negocio de ransomware. Asimismo, el equipo de NCC predice que continuará la tendencia hacia ataques simples Onlines de tiempo más cortas.

«El equipo de Inteligencia de Amenazas del Grupo NCC espera que los ataques de extorsión por violación de datos aumenten con el tiempo, requiriendo menos tiempo e incluso menos conocimientos técnicos o habilidades que un ataque de ransomware completo», dijo el equipo. «Por lo tanto, asegurarse de poder detectar tales ataques en combinación con tener un plan de respuesta a incidentes listo para ejecutarse con poca anticipación es fundamental para mitigar de manera eficiente y efectiva la amenaza que SnapMC representa para su organización».

.

No te olvides compartir en tus redes sociales para que tus colegas lo lean

??? ? ? ???

Comparte