Noticias sobre salud y tecnología en Colombia y el mundo

Encuentre todo sobre el panorama actual sobre salud y tecnología.

Una nueva amenaza de robo de datos híbrido-ransomware deshabilita las protecciones de seguridad al reiniciar las máquinas Windows a mitad del ataque. Así lo reportaron los miembros del equipo de seguridad de HeOn SOC quienes están en permanente vigilancia de todo tipo de amenazas.

Los investigadores de seguridad han estado analizando una serie continua de ataques de ransomware en los que el ejecutable de la amenaza obliga a la máquina Windows a reiniciarse en modo seguro antes de comenzar el proceso de cifrado. Los atacantes pueden estar utilizando esta técnica para eludir la protección del punto final, que a menudo no se ejecutará en modo seguro.

Según los hallazgos de HeOn SOC, cuando la computadora vuelve a funcionar después del reinicio, esta vez en modo seguro, el malware usa el componente de Windows net.exe para detener el servicio SuperBackupMan, y luego usa el componente de Windows vssadmin.exe para eliminar todas las instantáneas de volumen en el sistema, que impide la recuperación forense de los archivos cifrados por el ransomware.

También le puede interesar; Con la auditoría médica, impacte el costo de forma positiva mediante la gestión en salud

¿Cómo prevenirse?

Recuerde que la mejor herramienta para no convertirse en víctima de los ciberdelincuentes es la prevención, el uso de contraseñas seguras y, sobre todo, el buen uso de los recursos, la prudencia en el momento de abrir archivos y mantenerse informado al respecto.

Con los siguientes consejos usted evitará que su organización o sus dispositivos sean infectados y pierda su información.

  • Abstenerse de exponer la interfaz de Escritorio remoto a Internet sin protección. Las organizaciones que deseen permitir el acceso remoto a las máquinas deben ponerlos detrás de una VPN en su red, para que no puedan ser contactados por nadie que no tenga credenciales de VPN.
  • • Los atacantes de Snatch también expresaron interés en contratar delincuentes que son capaces de violar las redes utilizando otros tipos de herramientas de acceso remoto, como VNC y TeamViewer, así como aquellos con experiencia en el uso de shells web o la intrusión en servidores SQL utilizando Técnicas de inyección SQL. Es lógico que este tipo de servicios orientados a Internet también presenten riesgos significativos si no se atienden.
  • Del mismo modo, las organizaciones deben implementar de inmediato la autenticación multifactor para usuarios con privilegios administrativos, para que sea más difícil para los atacantes forzar por fuerza bruta esas credenciales de cuenta.

IOC

Email

  • • Imboristheblade [@] protonmail [.] com
  • • Newrecoveryrobot [@] pm [.] me
  • • Jimmtheworm [@] dicksinmyan [.] us
  • • doctor666 [@] cock [.] li
  • • doctor666 [@] mail [.] fr

Dominios

  • • mydatassuperhero [.] com
  • • snatch6brk4nfczg [.] onion
  • • mydatasuperhero [.] com
  • • snatch24uldhpwrm [.] onion

Una nueva amenaza cibernética tiene en jaque a empresas y a personas de diferentes sectores, debido a que ser infectado por este gusano trae graves consecuencias en materia tecnológica e informativa.

Se trata del malware Dridex. Esta amenaza, y sus diversas iteraciones, tienen la capacidad de afectar la confidencialidad de los datos del cliente, su disponibilidad y los sistemas para los procesos comerciales.

Según los informes de la industria, la versión original de Dridex apareció por primera vez en 2012, y para 2015 se había convertido en uno de los troyanos financieros más frecuentes. Se espera que los actores que usan el malware Dridex y sus derivados continúen dirigiéndose al sector de servicios financieros, incluidas las instituciones financieras y los clientes.

Atributos de phishing relacionados con Dridex

Los ciberdelincuentes, generalmente, distribuyen el malware Dridex mediante campañas de correo electrónico no deseado de phishing. Los mensajes emplean una combinación de nombres comerciales y dominios legítimos, terminología profesional e idioma que implican urgencia para persuadir a las víctimas a activar archivos adjuntos abiertos.

También le puede interesar: Proteja sus datos, información y equipos con HeOn SOC

Las direcciones de correo electrónico del remitente pueden simular individuos (This email address is being protected from spambots. You need JavaScript enabled to view it.), administrativos (This email address is being protected from spambots. You need JavaScript enabled to view it., This email address is being protected from spambots. You need JavaScript enabled to view it.) o partes locales comunes de "no responder" (This email address is being protected from spambots. You need JavaScript enabled to view it.). Los títulos de temas y archivos adjuntos pueden incluir términos típicos como "factura", "pedido", "escaneo", "recibo", "nota de débito", "itinerario" y otros.

Capacidades de malware

El malware Dridex opera desde múltiples módulos que pueden descargarse juntos o después de la descarga inicial de un módulo "cargador". Los módulos incluyen disposiciones para realizar capturas de pantalla, actuar como una máquina virtual o incorporar la máquina víctima en una botnet.

A través de su historia y desarrollo, Dridex ha utilizado varios exploits y métodos de ejecución, incluida la modificación de archivos de directorio, la recuperación del sistema para escalar privilegios y la modificación de las reglas de firewall para facilitar la comunicación entre pares para la extracción de datos.

Las versiones recientes de Dridex explotan la vulnerabilidad CVE-2017-0199, que permite la ejecución remota de código. Esta vulnerabilidad es específica de Microsoft Office y WordPad. Microsoft lanzó un parche en 2017.

Indicadores de compromiso

Los siguientes indicadores están asociados con la manera como ataca Dridex

Tipo de indicador

Valor del indicador

Actividad asociada

Dirección de correo electrónico

info [@] antonioscognamiglio [.] it

Dridex

Dirección de correo electrónico

información [@] golfprogroup [.] com

Dridex

Dirección de correo electrónico

cariola72 [@] teletu [.] it

Dridex

Dirección de correo electrónico

faturamento [@] sudestecaminhoes [.] com.br

Dridex

Dirección de correo electrónico

info [@] melvale [.] co.uk

Dridex

Dirección de correo electrónico

fabianurquiza [@] correo.dalvear [.] com.ar

Dridex

Dirección de correo electrónico

web1587p16 [@] mail.flw-buero [.] en

Dridex

Dirección de correo electrónico

rebote [@] bestvaluestore [.] org

Dridex

Dirección de correo electrónico

farid [@] abc-telecom [.] az

Dridex

Dirección de correo electrónico

rebote [@] bestvaluestore [.] org

Dridex

Dirección de correo electrónico

admin [@] sevpazarlama [.] com

Dridex

Dirección de correo electrónico

faturamento [@] sudestecaminhoes [.] com.br

Dridex

Dirección de correo electrónico

pranab [@] pdrassocs [.] com

Dridex

Dirección de correo electrónico

tom [@] blackburnpowerltd [.] co.uk

Dridex

Dirección de correo electrónico

yportocarrero [@] elevenca [.] com

Dridex

Dirección de correo electrónico

s.palani [@] itifsl.co [.] en

Dridex

Dirección de correo electrónico

faber [@] imaba [.] nl

Dridex

Dirección de correo electrónico

admin [@] belpay [.] por

Dridex

dirección IP

62 [.] 149 [.] 158 [.] 252

Dridex

dirección IP

177 [.] 34 [.] 32 [.] 109

Dridex

dirección IP

2 [.] 138 [.] 111 [.] 86

Dridex

dirección IP

122 [.] 172 [.] 96 [.] 18

Dridex

dirección IP

69 [.] 93 [.] 243 [.] 5

Dridex

dirección IP

200 [.] 43 [.] 183 [.] 102

Dridex

dirección IP

79 [.] 124 [.] 76 [.] 30

Dridex

dirección IP

188 [.] 125 [.] 166 [.] 114

Dridex

dirección IP

37 [.] 59 [.] 52 [.] 64

Dridex

dirección IP

50 [.] 28 [.] 35 [.] 36

Dridex

dirección IP

154 [.] 70 [.] 39 [.] 158

Dridex

dirección IP

108 [.] 29 [.] 37 [.] 11

Dridex

dirección IP

65 [.] 112 [.] 218 [.] 2

Dridex