#CyberSecurityPulse: Última actualización sobre Bad Rabbit

martes, 31 de octubre de 2017


El pasado 24 de octubre las infecciones sobre un ransomware llamado Bad Rabbit comenzaron a extenderse. En menos de un día, había comprometido organizaciones, principalmente en Rusia, Ucrania, Turquía, Bulgaria y los Estados Unidos.

El dropper del ransomware fue distribuido mediante un ataque drive-by-download. Es decir, mientras el objetivo visitaba un sitio web legítimo, la víctima se estaría descargando el dropper desde la infraestructura manejada por el threat actor. De esta manera, no se utilizaron exploits, por lo que la víctima tuvieron que ejecutar de forma manual el dropper, que pretendía ser un instalador de Adobe Flash.

Sin embargo, Bad Rabbit también utilizaba el exploit EternalRomance como un vector de infección para propagarse dentro de las redes corporativas. El mismo exploit fue utilizado en ExPetr. En este caso, fue un ataque dirigido contra redes corporativas, utilizando métodos similares a los utilizados durante el ataque de ExPetr. El análisis del código ha mostrado una notable similitud entre los binarios de ExPetr y de Bad Rabbit.

Según los últimos descubrimientos de Kaspersky Lab, al analizar la muestra, parece que los criminales que se encuentran detrás de este malware eran seguidores de la serie de televisión Game of Thrones, ya que algunas de las cadenas utilizadas en el código son nombres de diferentes personajes de esta serie. Pero, por otro lado, también descubrieron que los archivos cifrados por Bad Rabbit se podían recuperar con los siguientes procedimientos específicos: "Hemos descubierto que Bad Rabbit no elimina las instantáneas después de cifrar los archivos de la víctima. Esto significa que si las instantáneas se habilitaron antes de la infección y si el cifrado completo del disco no se produjo por alguna razón, entonces la víctima puede restaurar las versiones originales de los archivos cifrados por medio del mecanismo estándar de Windows o utilidades de terceros".

» Más información en Securelist

Noticias destacadas

El regulador de privacidad holandés afirma que Windows 10 infringe la ley



La falta de información sobre cómo utiliza Microsoft los datos que recopila Windows 10 impide que los consumidores den un consentimiento informado al uso de los datos afirma la autoridad holandesa de protección de datos (DPA). Para cumplir con la ley, la DPA establece que Microsoft debe tener más claro qué datos se recopilan y cómo se procesan estos, además de no respetar las configuraciones previas elegidas por el usuario.


» Más información en Arstechnica
 

El CSE de Canadá pública herramientas para la lucha contra el malware



El organismo dedicado en Canadá a la protección comunicaciones seguras hace publicas herramientas con el objetivo de ayudar a compañías y organizaciones a defender sus equipos y redes. Assemblyline es una herramienta open source para el análisis de malware que, según CSE, se usa para proteger la extensa infraestructura del gobierno canadiense todos los días.


» Más información en Bitbucket
 

Noticias del resto de la semana

Microsoft publica la herramienta open source Sonar


Microsoft anunció la liberación de Sonar, una herramienta de código abierto para el escaneo de sitios web desarrollada por el equipo de Microsoft Edge. Sonar es una herramienta de que analiza el código para una amplia gama de problemas, incluidos los relacionados con errores de codificación, rendimiento, accesibilidad, seguridad, aplicaciones web progresivas (PVA) e interoperabilidad.

» Más información en Github
 

Un key-gen de Microsoft Office pudo facilitar el robo de los exploits de la NSA


Kaspersky Lab ha publicado un informe donde explica cómo se podrían haber robado fácilmente el software del PC con Windows de empleados de la NSA. Según los registros de telemetría recopilados por la compañía de origen ruso, un miembro temporal desconectó la protección antivirus del equipo e infectó su equipo personal con un spyware al intentar usar una copia pirateada del software ofimático de Microsoft.

» Más información en Kaspersky
 

APT28 estaría intentando explotar una vulnerabilidad de Flash no parcheada


La vulnerabilidad CVE-2017-11292 de Adobe Flash permite explotar un fallo que puede llevar a la ejecución de código en sistemas Windows, Mac, Linux y Chrome OS. Como resultado, los atacantes se están moviendo rápidamente para explotarlo mientras los investigadores de Proofpoint ya han atribuido a APT28 una campaña diseñada para propagar malware utilizando dicha vulnerabilidad.

» Más información en Proof of Point


Otras noticias

Premios de 1000 dólares por encontrar fallos en apps de Google Play


» Más información en Hackerone
 

La estrategia de reclutamiento del FBI Centrada en la escuela secundaria


» Más información en Cyberscoop
 

El ataque DUHK permite recuperar claves de cifrado utilizadas en VPN y sesiones web


» Más información en The Hacker News


No hay comentarios:

Publicar un comentario