You have not selected any currencies to display

Bl0ckch41nnewsVulnerabilidades explotadas en campañas de ransomware desde 2017 a 2023

15


La explotación de vulnerabilidades por parte de los grupos de ransomware se
divide en dos categorías claras: vulnerabilidades que solo han sido explotadas
por uno o dos grupos y aquellas que han sido ampliamente explotadas por varios
grupos. Cada una de estas categorías requiere un enfoque diferente para la
defensa y la mitigación y este
informe de Recorded Future
profundiza en estos aspectos.

Los grupos de actores de amenazas que son los únicos que atacan ciertas
vulnerabilidades tienden a seguir preferencias específicas de orientación y
uso de armas, lo que permite a las empresas priorizar las defensas de la red y
las auditorías de los proveedores. La mejor defensa contra los grupos que
favorecen la explotación única es crear un perfil de sus objetivos más
probables, tanto en términos de productos como de tipos de vulnerabilidad.

Las vulnerabilidades ampliamente explotadas se encuentran en el software que
se utiliza con frecuencia en las grandes empresas. Estas vulnerabilidades
suelen explotarse fácilmente mediante módulos de pruebas de penetración o
líneas mínimas de código centradas en dispositivos que aceptan solicitudes
HTTP/S.

Las mejores defensas contra la explotación generalizada son parchear las
vulnerabilidades tan pronto como estén disponibles,

monitorear la investigación de seguridad para detectar vulnerabilidades
simples de prueba de concepto y monitorear los foros criminales en busca de
referencias a componentes de la pila tecnológica (en lugar de vulnerabilidades
específicas).

Resultados clave

  • Los grupos de ransomware son los únicos que explotan tres o más
    vulnerabilidades y muestran un claro enfoque de selección, que los
    defensores pueden utilizar para priorizar las medidas de seguridad. Por
    ejemplo, CL0P se ha centrado de manera única en el software de transferencia
    de archivos de Accellion, SolarWinds y MOVEit. Otros grupos de ransomware
    con altos niveles de explotación única muestran patrones similares.
  • Todas las vulnerabilidades que los grupos de ransomware han atacado con
    mayor frecuencia se encuentran en el software utilizado con frecuencia por
    las grandes empresas y pueden explotarse fácilmente mediante módulos de
    prueba de penetración o líneas individuales de código curl. Estas
    vulnerabilidades son ProxyShell (CVE) 2021 (34473), CVE (2021) 34523 y CVE
    (2021) 31207, ZeroLogon (CVE 2020) 1472, Log4Shell (CVE 2021) 44228, CVE
    2021 (3). 4527 y CVE 2019 19781.
  • Las vulnerabilidades que requieren vectores únicos o personalizados para
    explotar (por ejemplo, archivos maliciosos que utilizan formas particulares
    de compresión) tienen más probabilidades de ser explotadas por sólo uno o
    dos grupos.
  • Es muy poco probable que los operadores y afiliados de ransomware hablen
    sobre vulnerabilidades específicas, pero el ecosistema cibercriminal que los
    respalda ha discutido vulnerabilidades y productos públicamente conocidos
    como objetivos de interés para la explotación.

Las tres principales identificaciones (ID) de CWE para vulnerabilidades
explotadas por grupos de ransomware son las siguientes:

  • CWE 20 (Validación de entrada incorrecta): nueve vulnerabilidades
  • CWE 22 (Limitación inadecuada de un nombre de ruta a un directorio
    restringido [«Path Traversal»]): nueve vulnerabilidades
  • CWE 787 (escritura fuera de límites): ocho vulnerabilidades

Este resultado no es del todo sorprendente, ya que se alinea aproximadamente
con patrones más amplios observados en el panorama de amenazas. Por ejemplo,
CWE 20, CWE 22 y CWE 787 figuraron entre los diez CWE principales en la lista
de las
25 debilidades de software más peligrosas de 2023 de CISA / MITRE, una clasificación elaborada a partir del análisis de los CVE que se
explotan actualmente en el salvaje.

La explotación generalizada se concentra en los grandes proveedores y los
scripts fáciles.

De todas las vulnerabilidades explotadas por las operaciones de ransomware,
cinco se destacaron como aquellas que atrajeron la mayor atención de los
actores de amenazas, habiendo sido explotadas por el mayor número de actores
de amenazas de ransomware individuales.

Estas vulnerabilidades son ProxyShel, ZeroLogon, Log4Shell, CVE 2021 34527,
que afectó a productos empresariales de Microsoft como Exchange, Netlogon y
Print Spooler, y CVE 2019 19781, que afectó al software de Citrix.

El dominio de Microsoft aquí no es sorprendente: como hemos identificado en
informes anteriores, Microsoft es regularmente el proveedor más afectado por la explotación de
Zero-Days y por el ransomware en general, ya que alrededor del 55% de las
vulnerabilidades explotadas por tres o más grupos estaban en productos de
Microsoft.

Las cinco vulnerabilidades principales también resultaron muy populares en el
panorama de amenazas más amplio una vez reveladas debido a factores como el
alto impacto en términos de acceso o control sobre los sistemas y la ubicuidad
del software afectado. Por ejemplo, se observó repetidamente que grupos de
estados-nación y otros ciberdelincuentes que no utilizan ransomware atacaban
estas vulnerabilidades como parte de sus operaciones de intrusión.

Al examinar las actividades de los grupos de ransomware y el uso de
vulnerabilidades conocidas públicamente en foros, se identificaron dieciséis
CVE no solo a los que se hace referencia en foros criminales sino que también
son explotados por miembros de ransomware como servicio y RaaS.

Vulnerabilidades explotadas en campañas de ransomware desde 2017 a 2023

(clic para agrandar)

Los ciberdelincuentes afiliados a RaaS se encuentran en estos foros delictivos
y pueden utilizar estas publicaciones en los medios para facilitar su interés
en explotar una vulnerabilidad.

Mitigaciones

Con base en los hallazgos y evaluaciones anteriores, consideramos que las
siguientes son las defensas más efectivas contra la explotación de
vulnerabilidades por parte de los operadores de ransomware:

  • A menos que sea necesario, asegúrese de que los dispositivos y las redes no
    puedan recibir solicitudes entrantes en los puertos 80 HTTP y 443 HTTPS. La
    explotación de vulnerabilidades del ransomware de mayor volumen muestra una
    clara preferencia por las vulnerabilidades críticas que pueden explotarse
    mediante unas pocas líneas de código contra dispositivos que pueden recibir
    solicitudes HTTP/S.
  • Monitorear artículos, blogs y repositorios de códigos de investigadores de
    seguridad en busca de referencias a una sintaxis de explotación simple
    basada en solicitudes HTTP/S (como el código curl). Esta información se
    puede utilizar para configurar detecciones de intentos de explotación contra
    dispositivos que deben permanecer accesibles públicamente.
  • Para los grupos de ransomware de interés, identifique si dichos grupos
    explotan vulnerabilidades específicas y dónde, para crear un perfil de los
    objetivos más probables, tanto en términos de productos como de tipos de
    vulnerabilidad. Por ejemplo, las organizaciones preocupadas por CL0P
    deberían priorizar mayores medidas de seguridad contra la inyección SQL en
    el software de transferencia de archivos. Alternativamente, las
    organizaciones preocupadas por ALPHV deberían priorizar el refuerzo de la
    autenticación para el software de respaldo de datos.

  • Parchee las vulnerabilidades críticas y ampliamente explotadas lo más
    rápido posible.

    Las estadísticas de tiempo de permanencia anteriores demuestran que los
    grupos de ransomware pueden explotar la infraestructura vulnerable de las
    víctimas más de tres años después de la divulgación de una vulnerabilidad.
  • No utilice el monitoreo de foros criminales como una forma confiable de
    identificar el interés de los grupos de ransomware en vulnerabilidades
    específicas, ya que estos grupos rara vez discuten dichas vulnerabilidades.
    Además, no confíe en las alertas de menciones criminales de identificadores
    CVE, ya que los delincuentes generalmente hablan de los identificadores CVE
    solo después de que se ha producido la explotación. En su lugar, supervise
    las discusiones criminales sobre proveedores y productos preocupantes.

​Fuente:
Recorded Future



Source link

Los comentarios están cerrados.