Microsoft ransomware

R

Microsoft dijo que ha observado que múltiples grupos de ciberdelincuentes tratan de establecer acceso a la red explotando la vulnerabilidad en Apache Log4j, con el objetivo esperado de vender posteriormente ese acceso a los operadores de ransomware.

La llegada de estos “intermediarios de acceso”, que han sido vinculados a afiliados de ransomware, sugiere que puede seguir un “aumento de ransomware operado por humanos” contra sistemas Windows y Linux, dijo la compañía en una actualización de una entrada de blog sobre la vulnerabilidad crítica Log4j, conocida como Log4Shell.

En la misma publicación, Microsoft también dijo que ha observado actividad de grupos de estados-nación -vinculados a países como China, Irán, Corea del Norte y Turquía- que buscan explotar la vulnerabilidad Log4j. En un caso, un grupo iraní conocido como Phosphorus, que ha desplegado anteriormente ransomware, ha sido visto “adquiriendo y haciendo modificaciones del exploit Log4j”, dijo Microsoft. “Evaluamos que PHOSPHORUS ha puesto en funcionamiento estas modificaciones”.

El desarrollo ha seguido poco después de que se revelaran los primeros casos de cargas útiles de ransomware que explotaban Log4Shell. Los investigadores de seguridad de Bitdefender observaron un intento de desplegar una nueva cepa de ransomware, Khonsari, utilizando la vulnerabilidad Log4Shell que se reveló públicamente el pasado jueves.

Ransomware office 365

Microsoft ha confirmado que presuntos ciberdelincuentes con sede en China están atacando el fallo Log4j ‘Log4Shell’ en el producto Horizon de VMware para instalar NightSky, una nueva cepa de ransomware que apareció el 27 de diciembre.  Los ataques de ransomware con motivación económica se dirigen a CVE-2021-44228, el fallo original de Log4Shell revelado el 9 de diciembre, y marcan una nueva amenaza planteada por la vulnerabilidad crítica que afecta al software, los sistemas y los dispositivos orientados a Internet en los que hay versiones vulnerables del componente de registro de errores de la aplicación Log4j basado en Java.

Al inscribirse, acepta recibir los boletines seleccionados, de los que puede darse de baja en cualquier momento. También acepta las condiciones de uso y reconoce las prácticas de recopilación y uso de datos descritas en nuestra política de privacidad.

El ransomware del blog de Microsoft

Aunque nuestra investigación continúa, MSTIC no ha encontrado ninguna asociación notable entre esta actividad observada, rastreada como DEV-0586, y otros grupos de actividad conocidos. MSTIC considera que el malware, que está diseñado para parecerse a un ransomware pero que carece de un mecanismo de recuperación del rescate, tiene la intención de ser destructivo y está diseñado para dejar inoperativos los dispositivos objetivo más que para obtener un rescate.

Dada la magnitud de las intrusiones observadas, MSTIC no puede evaluar la intención de las acciones destructivas identificadas, pero sí cree que estas acciones representan un riesgo elevado para cualquier organismo gubernamental, organización sin ánimo de lucro o empresa ubicada o con sistemas en Ucrania. Recomendamos encarecidamente a todas las organizaciones que lleven a cabo inmediatamente una investigación exhaustiva y que implementen defensas utilizando la información proporcionada en este post. MSTIC actualizará este blog a medida que tengamos información adicional que compartir.

El malware reside en varios directorios de trabajo, entre ellos C:\PerfLogs, C:\ProgramData, C:\ y C:\temp, y a menudo se llama stage1.exe. En las intrusiones observadas, el malware se ejecuta a través de Impacket, una capacidad disponible públicamente y utilizada a menudo por los actores de amenazas para el movimiento lateral y la ejecución.

Ransomware onedrive

El ransomware de origen humano no es un problema de software malicioso, sino un problema de delincuencia humana. Las soluciones utilizadas para abordar los problemas de los productos básicos no son suficientes para prevenir una amenaza que se asemeja más a un actor de amenaza de un estado nacional que:

Estas acciones se realizan comúnmente con programas legítimos que usted podría tener ya en su entorno con fines administrativos. En manos de los delincuentes, estas herramientas se utilizan de forma maliciosa para llevar a cabo ataques.

La respuesta a la creciente amenaza del ransomware requiere una combinación de configuración empresarial moderna, productos de seguridad actualizados y la vigilancia de personal de seguridad capacitado para detectar y responder a las amenazas antes de que se pierdan los datos.

Usted utiliza Defender for Identity para investigar las cuentas comprometidas conocidas y para encontrar las cuentas potencialmente comprometidas en su organización. Defender for Identity envía alertas para actividades maliciosas conocidas que los actores utilizan a menudo, como los ataques DCSync, los intentos de ejecución remota de código y los ataques pass-the-hash. Defender for Identity le permite localizar la actividad y las cuentas sospechosas para acotar la investigación.