Ataque de ransomware de Ryuk de un estudiante frugal - Calendae | Informática, Electrónica, CMS, Ciberseguridad

Ataque de ransomware de Ryuk de un estudiante frugal

Hola y mil gracias por leerme. Te habla Eduardo Arroyo y esta vez te voy a contar sobre Ataque de ransomware de Ryuk de un estudiante frugal

Ataque de ransomware de Ryuk de un estudiante frugal

El alumno optó por un software «gratuito» con un keylogger que adquirió las credenciales que luego utilizó «Totoro» para ingresar a un instituto biomolecular.

Un instituto europeo de investigación biomolecular involucrado en la investigación de COVID-19 perdió una semana de datos de investigación, todo gracias a un ataque de ransomware Ryuk atribuible a un estudiante que intentaba ahorrar dinero comprando software sin licencia.

Los investigadores de seguridad de Sophos describieron el ataque en un archivo relación publicado el jueves después de que se llamara al equipo de Respuesta Rápida de la compañía de seguridad para arreglar el caos.

Todos cometemos errores, dijeron los investigadores. Ese estudiante frugal hizo algunos. Pero la tontería del estudiante cambió a un ataque de ransomware en toda regla porque no había medidas de seguridad para evitar que ocurrieran esos pasos en falso, dijeron los investigadores.

Deslizamiento de acceso remoto

Como muchas organizaciones, el instituto permite que personas externas accedan a su red a través de sus computadoras personales. Pueden hacer esto mediante sesiones remotas de Citrix que no requieren autenticación de dos factores (2FA).

La falta del 2FA requerido debería generar señales de alerta allí mismo, sin mencionar que Citrix es una de las plataformas más utilizadas que los actores de amenazas están tratando activamente de explotar para robar credenciales. En abril, la Agencia de Seguridad Nacional de EE. UU. (NSA) emitió una advertencia de que los actores estatales estaban explotando vulnerabilidades que afectaban a las VPN, el software de suite de colaboración y las tecnologías de virtualización.

Únase a Threatpost para «Fortalecer su negocio contra ataques de ransomware, DDoS y Cryptojacking», un panel de discusión EN VIVO el miércoles 12 de mayo a las 2 pm EDT para este seminario web GRATUITO patrocinado por Zoho ManageEngine.

Esto incluyó a Citrix, junto con Fortinet, Pulse Secure, Synacor y VMware, todos en la mira del grupo Advanced Persistent Threat (APT) conocido como APT29 (también conocido como Cozy Bear o The Dukes). La NSA dijo en ese momento que APT29 está realizando «exploraciones y exploits generalizados contra sistemas vulnerables en un intento por obtener credenciales de autenticación para permitir un mayor acceso».

El estudiante hambriento tenía hambre de una «ganga»

En este caso, el estudiante buscaba una copia personal de una herramienta de software de visualización de datos que la persona ya estaba usando para trabajar. La licencia costaría cientos de dólares al año, por lo que el estudiante comenzó a buscar una alternativa gratuita. Cuando el niño no lo encontró en forma legítima, fue a la búsqueda de una versión descifrada del software.

Desafortunadamente, el estudiante encontró uno. Además, desafortunadamente, él o ella aparentemente no era consciente de lo malvado que puede ser el software crackeado. El software de craqueo ha llevado a la evolución de software malicioso, como los troyanos de acceso remoto (RAT) y los ladrones de criptomonedas, a medida que los ciberdelincuentes trabajan para deslizar sus herramientas a través de las defensas con mayor facilidad. Las aplicaciones crackeadas en sí mismas también pueden ser repositorios de cosas cargadas de malware.

«El archivo era en realidad puro malware», dijeron los investigadores de Sophos. El alumno decidió deshabilitar el antivirus Windows Defender de Microsoft, que detectaba una amenaza cuando el alumno intentaba instalarlo, porque bueno, software gratuito.

Por lo que los investigadores de seguridad pueden entender de la computadora portátil, que se entregó a los análisis forenses después de que tuvo lugar el ataque de ransomware, el estudiante también tuvo que desactivar el firewall para obtener la bomba de tiempo en la computadora.

Una vez instalada, la copia descifrada de la herramienta de visualización instaló a un ladrón de información que se puso a trabajar grabando las pulsaciones de teclas; robar datos del navegador, cookies y portapapeles; y más. El keylogger también ganó el premio gordo: las credenciales de inicio de sesión del estudiante en la red de la institución.

Avance rápido 15 días y se registró una conexión de Protocolo de escritorio remoto (RDP) en la red de la institución utilizando credenciales robadas. Los investigadores notaron que la conexión se realizó mediante una computadora que lleva el nombre de «Totoro», el adorable y enormemente popular personaje del anime.

Los RDP se han utilizado en muchos ataques, incluido el uso de BlueKeep. Una de las características de RDP, explicaron los investigadores, es que una conexión también activa la instalación automática de un controlador de impresora, lo que permite a los usuarios imprimir documentos de forma remota. En este caso, la conexión RDP utilizó un controlador de impresión en ruso que «probablemente sea una conexión no autorizada», dijeron. Diez días después de que se estableció la conexión RDP, Ryuk se activó.

Peter Mackenzie, gerente de Respuesta Rápida en Sophos, dijo que es poco probable que quien esté detrás del software descifrado sea el mismo actor de amenazas que estuvo detrás del ataque de Ryuk resultante.

«El mercado clandestino de redes previamente comprometidas que ofrecen a los atacantes un acceso inicial fácil está prosperando, por lo que creemos que los operadores de malware han vendido su acceso a otro atacante», escribió en el informe. «La conexión RDP podría haber sido la prueba de acceso de los agentes de acceso».

Lesley Carhart, una de las principales socorristas de accidentes industriales en Dragos, señaló recientemente cuán poco informados son los ataques de ransomware como este. «Esto no es algo que le pase a otras personas», dijo en una transmisión de Tweet el martes. «No eres demasiado grande, demasiado pequeño, demasiado híbrido, demasiado virtualizado o demasiado» de confianza cero «. Lo prometo. Las cosas están muy mal. Prepárate ahora y toma medidas de mitigación serias».

Sigo viendo tweets tras tweets últimamente de mis colegas entrevistados sobre la preparación de ataques de ransomware y los incidentes de disuasión, y * no * pierden el tiempo. Las cosas están aumentando rápidamente, incluida la descaro, la crueldad y la cantidad. Las aseguradoras solo pagarán cuando sea necesario.

– Lesley Carhart (@ hacks4pancakes) 5 de mayo de 2021

No hay una fórmula mágica, dijo. Para prevenir ataques de ransomware, las organizaciones necesitan «inversiones e higiene de seguridad básicas para habilitarlo», señaló, citando los mismos mecanismos defensivos que podrían haber ayudado en este caso: «Cosas como MFA sobre VPN y servicios en la nube, copias de seguridad que se guardan rutinariamente sin conexión, limitando cuenta [permissions], planear un accidente y reconstruir «.

¿Qué pudo haber mantenido a Ryuk en la bahía?

Mackenzie de Sophos se hace eco de la afirmación de Carhart: los controles de acceso y autenticación de red sólidos, así como la capacitación del usuario final, «podrían» haber evitado que ocurriera este ataque. «Sirve como un poderoso recordatorio de lo importante que es tener la base de seguridad correcta», dijo.

Sophos ha pasado estas recomendaciones:

  1. Habilite la autenticación multifactor (MFA), siempre que sea posible, para cualquier persona que necesite acceder a las redes internas, incluidos colaboradores y socios externos.
  2. Tener una política de contraseñas eficaz para todos los que necesiten acceder a las redes internas.
  3. Deshabilite y / o actualice cualquier sistema operativo y aplicación no compatible
  4. Revise e instale software de seguridad en todas las computadoras
  5. Revise e instale periódicamente los últimos parches de software en todas las computadoras y verifique que se hayan instalado correctamente
  6. Revise el uso de servidores proxy y verifique periódicamente las políticas de seguridad para evitar que cualquier persona en la red acceda a sitios web maliciosos y / o descargue archivos maliciosos.
  7. Bloquee el acceso RDP al escritorio remoto con reglas estáticas de red de área local (LAN), a través de políticas de grupo o listas de control de acceso
  8. Implementar la segregación para cualquier acceso a la red, incluidas las LAN (o considerar el uso de LAN virtuales) y, cuando sea necesario, usar hardware / software / listas de control de acceso.
  9. Revise continuamente las cuentas de dominio y de computadora, eliminando las no utilizadas o innecesarias.
  10. Examine las configuraciones del firewall y solo permita el tráfico destinado a destinos conocidos
  11. Restrinja el uso de cuentas de administrador por diferentes usuarios, ya que esto fomenta el intercambio de credenciales, lo que puede introducir muchas otras vulnerabilidades de seguridad.

Suscríbete a Threatpost para «Fortalezca su negocio contra ataques de ransomware, DDoS y cryptojacking«- una mesa redonda EN VIVO en Miércoles 12 de mayo a las 2 p.m.EDT. Patrocinada por Zoho ManageEngine, la presentadora de Threatpost, Becky Bracken, modera un panel de expertos que discuten las mejores estrategias de defensa para estas amenazas de 2021. Se alienta la participación de la audiencia y las preguntas EN VIVO. Únase a la animada discusión e Registrar aquí libre.

.

No te olvides compartir en tus redes sociales para que tus amigos lo lean

??? ? ? ???

Comparte