En esta publicación haremos un resumen rápido de las Alertas AA20–296A y AA20–304A ambas del FBI y CISA. La alerta AA20–296A del 22 de Octubre 2020 sobre un APT Ruso que tiene como objetivo obtener credenciales de usuario, realizar movimiento lateral ubicar activos de alto valor y exfiltrar datos de redes gubernamentales de EUA.

Image for post
Image for post

Por medidas de precaución se recomienda bloquear los siguientes IoCs y resolver las siguientes vulnerabilidades, Este APT utiliza los siguientes IoCs:
213.74.101[.]65
213.74.139[.]196
212.252.30[.]170
5.196.167[.]184
37.139.7[.]16
149.56.20[.]55
91.227.68[.]97
138.201.186[.]43
5.45.119[.]124
193.37.212[.]43
146.0.77[.]60
51.159.28[.]101
columbusairports.microsoftonline[.]host
microsoftonline[.]host
email.microsoftonline[.]services
microsoftonline[.]services
cityname[.]westus2.cloudapp.azure.com

Revisar y parchar las siguientes vulnerabilidades:
-> CVE-2019–19781 -> Citrix, Citrix Application Delivery Controller, Citrix Gateway, Citrix SDWAN WANOP
https://nvd.nist.gov/vuln/detail/CVE-2019-19781


Deutsche Welle DW (1) informa que un ciberataque de tipo ransomware en un Hospital Universitario en Düsseldorf Alemania retrasó el tratamiento de una mujer y finalmente la condujo a la muerte, es posible que el hospital ni siquiera haya sido el objetivo del ataque. Las autoridades del estado alemán de Renania del Norte-Westfalia iniciaron una investigación después de que un ataque de ransomware paralizara un hospital en Düsseldorf. …


La presente publicación tiene como objetivo aprender del Ciberataque a través de recolección de información pública por ello no se puede tomar los datos, imagenes, twitts como hechos fidedignos ya que no han sido validados.

Sin embargo, la siguiente recolección de hechos, recomendaciones pueden servir como referencia para estudiar y tomar medidas preventivas para un futuro ciberataque.

Como todos sabemos el día sábado 18 de Julio en las redes sociales empezaron a circular mensajes sobre que Telecom Argentina había sido afectada por un ciberataque de dipersión global y que no había afectado servicios críticos:

Image for post
Image for post

Según Segu-Info donde en cada momento ha actualizado su blog durante ese fin de semana, en resumen rápido nos…


Diferentes Buenas Prácticas de Seguridad recomiendan habilitar un segundo factor para ingresar a nuestro servicios más usados como mensajeria, redes sociales, correo electrónico. En esta oportunidad voy a brindar un ejemplo para mejorar nuestros hábitos de autenticación:

Facebook:

Para habilitar en tu cuenta de facebook, hacer lo siguiente: Ir a tu perfil -> configuración -> Seguridad e inicio de sesión:

Image for post
Image for post

Hacer click en: Usar autenticación en dos pasos:

Image for post
Image for post

Usar autenticación en dos pasos -> Editar y te presentará lo siguiente:

Image for post
Image for post

Existen dos métodos de seguridad, primero vamos a mostrar como habilitamos el método de “App de autenticación” y luego el método “Mensajes de texto (SMS)”. …


Microsoft ha publicado el día 10 de marzo una “ADV200005 Guía para desabilitar la compresión SMBv3”, esta vulnerabilidad permite
ejecución remota de código en la forma en que el protocolo SMBv3 maneja ciertas solicitudes.

Image for post
Image for post

Vulnerabilidad CVE-2020–0796 (#SMBGhost / #coronablue):

La vulnerabilidad ha estado en el dominio público desde el 10 de marzo. Un ataque podría comprometer otros equipos sin necesidad de interacción por parte del usuario, tal como el Ransomware WannaCry o NotPetya. Recordar que el Ransomware WannaCry explotaba un fallo bastante similar en la versión SMBv1.

Image for post
Image for post

Riesgo:
Un atacante podría aprovechar esta vulnerabilidad para obtener la capacidad de ejecutar código en el servidor SMB o el cliente SMB de destino. …


Ultimamente hay un nuevo pico de ataques Ransomware a las empresas, por ello voy a realizar una actualización de medidas preventivas y si ya eres víctima como responder:

¿Qué es Ransomware?

“secuestro de datos” en español, es un tipo de programa dañino que restringe el acceso a determinadas partes o archivos del sistema operativo infectado, y pide un rescate a cambio de quitar esta restricción, frecuentemente el atacante dinero a través de bitcoins.

Image for post
Image for post

Métodos de Infección:

Hasta lo observado existen tres métodos de infección:

  1. SPAM de Correo electrónico, a la víctima le llega un correo con un archivo adjunto tipo: pdf, xls, word y al hacerle click se inicia el ransomware. …

Como parte de un trabajo de la Universidad, que tiene como objetivo entender que tan inseguros estamos cuando exponemos dispositivos a internet vamos a instalar un equipo que nos permita capturar los ataques y su posterior análisis.

Honeypot.Para ello en mi casa he instalado un Honeypot (El cual es como una carnada para los atacantes), basado en Phype/telnet-iot-honeypot simulando un dispositivo con el servicio telnet puerto 23/tcp abierto y esta publicado a Internet, como si fuera una camara, para capturar las conexiones de los atacantes.

Diagrama general de la red:

Image for post
Image for post

Al publicar el Honeypot a Internet, se muestra que los atacantes intentan ingresar a nuestro dispositivo con usuarios clásicos como root, admin, admin, guest, default y password conocidos como: “admin”, “1111”, “password” etc. Lo que nos lleva a la reflexion a cambiar las credenciales por defecto de fabrica de lo contrario seremos presa facil de ataques maliciosos. …


On May 14, 2019 Microsoft [1] published a vulnerability security patch (CVE-2019–0708) [6] known as BlueKeep that affects the Terminal Server service and could be used by Petya-type Ransomware, Wannacry since the service could be exploited remotely and without the need to use credentials.

For this reason, together with a friend Andres Morales (andresmz), we have conducted a scanning with the academic objective of assessing how vulnerable we are, this study focuses on the CVE-2019–0708 vulnerability to the IP ranges assigned to Central America , South America and Spain, finding that there are more than 63,000 Vulnerable Hosts; To validate the result we have done scanning on different days: 05, 07 and 14 of June. …


El pasado 14 de Mayo 2019 Microsoft [1] publicó un parche de seguridad a la vulnerabilidad (CVE-2019–0708)[6] conocida como BlueKeep que afecta el servicio Terminal Server y podría ser usado por Ransomware tipo Petya, Wannacry ya que el servicio se podría explotar remotamente y sin la necesidad de usar credenciales.

Por esta razón, en conjunto con un amigo Andres Morales (andresmz), hemos realizado un scanning con el objetivo académico de evaluar qué tan vulnerables somos, este estudio se centra en la vulnerabilidad CVE-2019–0708 a los rangos IPs asignados a Centro América, Sur América y España, encontrando que hay más de 63,000 Hosts Vulnerables; para validar el resultado hemos realizado scanning en diferentes días: 05, 07 y 14 de Junio.


Microsoft recomienda aplicar el parche de seguridad publicado el 14 de Mayo pasado que mitiga la vulnerabilidad CVE-2019–0708, donde indica que un atacante remoto podría aprovechar esta vulnerabilidad para tomar el control de un sistema afectado- la explotación no necesita ninguna autentificación específica.

Hay cerca de 900,000 máquinas en el Internet público vulnerables a esta vulnerabilidad, por lo que muchos esperan un gusano pronto como WannaCry y no Petya.

Image for post
Image for post

Recordar que el Terminal Server es usado por diferentes empresas para realizar una conexión remota, las áreas de sistemas lo usan para conectarse a sus servidores, proveedores de software para dar soporte a sus clientes, el servicio de Terminal Service por defecto se ejecuta en el puerto 3389/tcp y también es usado por los atacantes de #Ransomware para hacer un ataque de fuerza bruta apoderarse del servidor y luego saltarse a un servidor local de Base de datos y cifrar archivos importantes por ejemplo sql. …

About

cesar farro

Blog de Ciberseguridad, Hacking, Recomendaciones de Protección y Buenas Practicas para las Empresas.

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store