Boletín de inteligencia de amenazas Check Point Junio 2020

Para conocer los últimos descubrimientos en investigación cibernética para la semana del 29 de junio de 2020, descargue nuestro Boletín de inteligencia de amenazas .

Principales ataques e infracciones

• Los investigadores de Check Point han descubierto una campaña en curso y en evolución de un conocido grupo de piratería llamado «DarkCrewFriends». Esta campaña está dirigida a servidores PHP, centrándose en la creación de una infraestructura de botnet que se puede aprovechar para varios fines, como la monetización y el cierre de servicios críticos.

Check Point IPS proporciona protección contra esta amenaza (Inyección de comandos a través de HTTP, PHP Web Shell Generic Backdoor)

• Un ataque en curso de Magecart se ha dirigido a 8 sitios web de ciudades de los EE. UU., Todos construidos en la plataforma Click2Gov que permite a los gobiernos proporcionar servicios como pagos electrónicos y gestión de quejas. El ataque permite a los skimmers de tarjetas de crédito robar información personal y de pago de todos los ciudadanos que utilizan los sitios web.

Las hojas Check Point Anti-virus y Anti-Bot brindan protección contra esta amenaza (Trojan.Win32.Magecart)

• Los servidores Docker se han visto afectados por lo que parece ser la primera serie de ataques organizados y persistentes que infectan los clústeres mal configurados con malware DDoS. Según los investigadores, las dos redes de bots están ejecutando versiones de XORDDoS y el malware Kaiji, ambas detectadas por primera vez para atacar una configuración de nube compleja.

La hoja Check Point Anti-Bot brinda protección contra esta amenaza (Backdoor.Linux.Xorddos)

• Un banco europeo ha sido golpeado por el mayor ataque DDoS que alcanzó un récord de 809 millones de paquetes por segundo. La mayoría de las direcciones IP detrás del ataque se utilizaron como parte de un ataque DDoS por primera vez, lo que significa que podría ser una botnet completamente nueva.
• LG Electronics ha sido afectado por el ransomware Maze . Los atacantes afirman haber robado más de 40 GB de información, incluido el código fuente y la información patentada para proyectos que involucran a grandes empresas estadounidenses.

Las hojas Check Point SandBlast y Anti-Bot brindan protección contra esta amenaza (Ransomware.Win32.Maze)

• La puerta trasera «GoldenSpy» se ha encontrado en el software fiscal oficial de un banco chino. Según los informes, el banco obligó a al menos 2 empresas occidentales, un proveedor de tecnología con sede en el Reino Unido y una importante institución financiera, a instalar el software de impuestos, producido por el Departamento de Impuestos Dorados de Aisino Corporation, para pagar impuestos locales.

Check Point SandBlast y anti-Bot brindan protección contra esta amenaza (Goldenspy)

Vulnerabilidades y parches

• Las investigaciones han revelado que 300 ejecutables de Windows 10 son vulnerables al secuestro de DLL. La vulnerabilidad se puede explotar con un VBScript que contiene la capacidad de usar un ejecutable legítimo de Windows para cargar de forma lateral una DLL arbitraria de la elección del atacante que puede permitirle obtener privilegios administrativos y evitar el UAC (Control de cuentas de usuario) por completo.
• Apache ha lanzado un aviso de seguridad para Apache Tomcat, parcheando una vulnerabilidad que podría causar una condición de denegación de servicio (CVE-2019-10072).

Check Point IPS brinda protección contra esta amenaza (Denegación de servicio de Apache Tomcat (CVE-2019-10072))

• Cisco ha publicado un aviso de seguridad sobre una vulnerabilidad Telnet (CVE-2020-10188) que afecta a los dispositivos Cisco IOS XE. Un atacante remoto podría aprovechar esta vulnerabilidad para tomar el control de un sistema afectado.
• NVIDIA ha lanzado una actualización de seguridad de software para NVIDIA GPU Display Driver. Esta actualización aborda problemas que pueden conducir a la denegación de servicio, escalada de privilegios o divulgación de información.
• Se ha encontrado una vulnerabilidad en Bitdefender Anti-virus (CVE-2020-8102), que permite que una página web externa, especialmente diseñada, ejecute comandos remotos dentro del proceso Safepay Utility.

Informes de inteligencia de amenazas

• Check Point Research ha analizado los últimos ciberataques temáticos de Coronavirus . A medida que las empresas hacen la transición de sus fuerzas laborales a la oficina, los piratas informáticos están distribuyendo correos electrónicos de phishing y archivos maliciosos disfrazados de materiales de capacitación sobre Coronavirus. Los datos más recientes también muestran que el riesgo de que una organización se vea afectada por un sitio web malicioso relacionado con el coronavirus depende de si el país en el que se encuentra ha vuelto a funcionar o todavía está bloqueado.
• Las investigaciones han declarado que el grupo «CryptoCore», que se cree que opera fuera de Europa del Este, ha robado alrededor de 200 millones de dólares de los intercambios de criptomonedas a través del ataque de la cadena de suministro durante dos años.
• Lucifer, una nueva variante del poderoso cripto-jacking y malware DDoS, ha estado explotando vulnerabilidades severas para infectar máquinas Windows en una campaña actualmente activa.

Check Point SandBlast brinda protección contra esta amenaza (Cryptominer.Win32.Lucifer)

• Una nueva variante de ransomware llamada «WastedLocker» exige el pago de millones de dólares en una ola de ataques contra organizaciones estadounidenses, incluidas ocho compañías Fortune 500. El ransomware es desarrollado por el grupo Evil Corp, también conocido como la pandilla Dridex, cuyos miembros han sido acusados ​​recientemente por el Departamento de Justicia de los Estados Unidos.

Check Point SandBlast brinda protección contra esta amenaza (Ransomware.Win32.Wastedlocker)