Treo Blog

En este espacio puedes explorar las últimas tendencias y noticias en tecnología, seguridad informática e infraestructura TI.

  • Jonathan Rodriguez Paipa

Boletín de Threat Source (10 de diciembre de 2020)

Por: Jon Munshaw.


Buenas tardes, lectores de Talos.

Crédito: Pexels

La firma de seguridad cibernética FireEye reveló recientemente un incidente que, según se informó, resultó en la divulgación inadvertida de varias herramientas de seguridad ofensiva (OST) desarrolladas internamente que se utilizaron en los compromisos del equipo rojo de FireEye. Sabemos que esto será lo más importante para muchos usuarios, así que para más información, consulte toda nuestra cobertura que cubre estas vulnerabilidades aquí . También tenemos nuevas reglas de Snort, sobre las que puede leer aquí .


Patch Tuesday también fue esta semana, aunque más tranquila en comparación con los otros meses de este año. Microsoft reveló poco menos de 60 vulnerabilidades, aunque todavía hay algunas críticas que queríamos señalar.


Por último, tenemos nuestro último informe de tendencias trimestrales de respuesta a incidentes de Cisco Talos. Nuestro equipo de respuesta a incidentes está viendo tanto ransomware en estado salvaje como siempre. Para obtener más información sobre lo que estamos viendo en el campo, consulte el informe completo aquí .


Revisión de la semana de la ciberseguridad

  • El exjefe de seguridad electoral de EE. UU., Chris Krebs, se pronunció en una entrevista en contra de la continua difusión de desinformación electoral del presidente Donald Trump. Krebs fue destituido de la administración Trump después de que su agencia calificara las elecciones de noviembre como "las más seguras de la historia".

  • La Agencia de Seguridad de Infraestructura y Seguridad Cibernética de EE. UU. Emitió una advertencia contra los actores patrocinados por el estado ruso que apuntan a máquinas virtuales. Los atacantes instalan shells web en las máquinas de las víctimas y luego llevan a cabo actividades maliciosas adicionales.

  • Las vulnerabilidades críticas en un protocolo de Internet de código abierto dejan muchos productos de Internet de las cosas abiertos a ataques. Y los investigadores de seguridad dicen que es posible que nunca se remenden.

  • Según los informes, los piratas informáticos han accedido a los datos de la vacuna COVID-19 en la Unión Europea. La Agencia Europea de Medicamentos dice que sufrió una violación de datos que afectó a las vacunas de Pfizer y BioNTech.

  • Según los informes, el FBI está investigando el robo de datos de votantes en el condado de Maricopa, Arizona. Según los informes, los agentes se incautaron de pruebas de un ciberataque a una organización no identificada.

  • La botnet TrickBot está recuperando fuerza después de una importante caída de sus servidores a principios de este año. Los investigadores de seguridad también dicen que ha ganado la capacidad de buscar firmware vulnerable y leerlo, escribirlo o borrarlo en los dispositivos.

  • Los operadores detrás de njRAT han cambiado sus tácticas, ahora usando Pastebin como su servidor de comando central . Los investigadores dicen que esta nueva característica ayuda al malware a evadir la detección y aumenta sus probabilidades de operar sin ser detectado.

  • Google y Apple han prohibido a la empresa de datos de ubicación X-Mode de sus respectivas tiendas de aplicaciones. La compañía tenía su tecnología incorporada en muchas aplicaciones populares y luego vendió los datos que recopiló a los contratistas militares y de defensa de EE. UU.

  • Adobe lanzó actualizaciones para corregir vulnerabilidades críticas en Lightroom, Prelude y Experience Manager. Una de las vulnerabilidades implica que el atacante activa una ruta de búsqueda no controlada y, finalmente, obtiene la capacidad de ejecutar código arbitrario.

Problemas de seguridad recientes notables


Título: Microsoft revela la menor cantidad de vulnerabilidades en un mes desde enero

Descripción: Microsoft lanzó su actualización de seguridad mensual el martes, revelando 58 vulnerabilidades en su conjunto de productos, el número más bajo de vulnerabilidades en cualquier Patch Tuesday desde enero. Solo hay 10 vulnerabilidades críticas como parte de esta versión, mientras que hay dos exploits de gravedad moderada y el resto se considera "importante". Se insta a los usuarios de todos los productos de Microsoft y Windows a actualizar su software lo antes posible para evitar la posible explotación de todos estos errores. Las actualizaciones de seguridad cubren varios productos y servicios diferentes, incluido el servicio de intercambio de archivos de SharePoint, el motor de respaldo de Windows y el servidor de correo de Exchange.

SID de Snort: 56554, 56557, 56558, 56560 - 56562 y 56564


Título: RegretLocker se dirige a las máquinas virtuales de Windows

Descripción: Cisco Talos lanzó recientemente una nueva protección contra el ransomware RegretLocker, descubierto recientemente. El malware fue descubierto el mes pasado apuntando a máquinas virtuales de Windows. El malware cifra los discos duros virtuales y también puede cerrar archivos abiertos para cifrarlos. Una vez que todos los archivos de la víctima están encriptados, se les presenta un archivo de texto que les pide a las víctimas que paguen un rescate enviando un correo electrónico a los actores. Si bien RegretLocker no es particularmente llamativo, los investigadores de seguridad han descubierto que el malware utiliza varias técnicas que lo hacen muy problemático para los usuarios de máquinas virtuales.

SID de inhalación : 56555, 56556


Archivos de malware más frecuentes esta semana


SHA 256: c814e977d6451eeefacce58c0e0ffd395bc8725853a40c67aa7a326d6b39cfe1

MD5: fb8e3acde54227e3571f5341fafecf31

Nombre de archivo típico: kmmsauto-Downlading.zip

Producto reclamado: N / A

Nombre de detección: Win.Tool.Autokms :: in01


SHA 256: 100318042c011363a98f82516b48c09bbcdd016aec557b009c3dd9c17eed0584

MD5: 920823d1c5cb5ce57a7c69c42b60959c

Nombre de archivo típico: FlashHelperService.exe

Producto reclamado: Servicio Flash Helper

Nombre de detección: W32.Variant.23mj.1201


SHA 256: f4c15b1eee06d45fa6115ddcfeb24bdacf54570352e0cb713e1c5895089dae1d

MD5: d5b40faa134ee1e73233e521ac476cdd

Nombre de archivo típico: 12072020_130241_7399559.xlsm

Producto reclamado: N / A

Nombre de detección: W32.F4C15B1EEE-90.SBX.TG


SHA 256: 85B936960FBE5100C170B777E1647CE9F0F01E3AB9742DFC23F37CB0825B30B5

MD5: 8c80dd97c37525927c1e549cb59bcbf3

Nombre de archivo típico: Eternalblue-2.2.0.exe

Producto reclamado: N / A

Nombre de detección: Win.Exploit.Shadowbrokers :: 5A5226262.auto.talos


SHA 256: 9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507

MD5: 2915b3f8b703eb744fc54c81f4a9c67f

Nombre de archivo típico: vid001.exe

Producto reclamado: N / A

Nombre de detección: Win.Worm.Coinminer :: 1201


Manténgase al día con todo lo relacionado con Talos siguiéndonos en Twitter . Snort , ClamAV e Immunet también tienen sus propias cuentas que puede seguir para mantenerse al día con sus últimas actualizaciones. También puede suscribirse al podcast Beers with Talos aquí (así como en su aplicación de podcast favorita). Y, si aún no lo está, también puede suscribirse al boletín semanal de Threat Source aquí .


Fuente: Blog Cisco Talos.

10 vistas0 comentarios
D&S colores.png

Un Servidor en Quien Confiar

CONTACTO

contactodirecto@datayservice.com

PBX + 57 6 8812277

Calle 54 # 26-60

ZIP 170004

Manizales, Colombia

REDES

logo-facebook.png
linkedin_circle-512.webp
logo-instagram-1.png

 © Data&Service, todos los derechos reservados.