Exploit de BlueKeep probablemente entrega mas cargas daniñas

Después de la noticia de que los ciberdelincuentes comenzaron a aprovechar la vulnerabilidad BlueKeep para entregar mineros de criptomonedas , Microsoft advirtió que el exploit probablemente también se utilizará para entregar cargas útiles más “impactantes y dañinas”.

Si bien no hay evidencia de que BlueKeep haya sido explotado para distribuir ransomware u otros tipos de malware, Microsoft cree que es solo cuestión de tiempo antes de que suceda.

Los ataques, detallados por primera vez hace varios días, intentaban entregar malware de minería de criptomonedas explotando una vulnerabilidad en los Servicios de escritorio remoto de Windows (RDS) rastreados como CVE-2019-0708, pero más conocidos como BlueKeep.

Microsoft lanzó inicialmente un parche de seguridad para la vulnerabilidad el 14 de mayo de 2019, pero eso no impidió que los cibercriminales lo atacaran, especialmente con cientos de miles de sistemas que permanecen sin parchear meses después de la publicación de la solución.

Kevin Beaumont, el investigador de seguridad que identificó la falla de seguridad, dice que los ataques recientes a sus honeypots, que comenzaron el 23 de octubre, apuntaban a BlueKeep en un intento de lanzar un minero Monero.

Un análisis realizado junto con el investigador británico Marcus Hutchins (también conocido como MalwareTech) ha revelado que un módulo BlueKeep Metasploit que se lanzó en septiembre se está aprovechando como parte de estos nuevos ataques.

Sin embargo, según Microsoft, algunos usuarios han tenido protección contra esta ola de ataques desde principios de septiembre, cuando se implementó una detección de comportamiento para el módulo Metasploit a los clientes de Microsoft Defender ATP.

El módulo BlueKeep Metasploit parece inestable, causando numerosos bloqueos relacionados con RDP, y Microsoft usó esta información para rastrear los ataques en máquinas vulnerables.

Por lo tanto, observó un aumento en el número de bloqueos del servicio RDP de 10 a 100 diariamente, a partir del 6 de septiembre (cuando se lanzó el módulo), un aumento en los bloqueos de corrupción de memoria a partir del 9 de octubre y bloqueos en los puntos de conexión de los investigadores externos a partir del 23 de octubre.

Los datos recopilados revelaron evidencia de que el mismo atacante probablemente realizó otra campaña destinada a entregar un minero en septiembre. El implante en la primera campaña contactó con la misma infraestructura de comando y control (C&C), alojada en Israel, utilizada en la operación reciente.

Las máquinas vulnerables en Francia, Rusia, Italia, España, Ucrania, Alemania, el Reino Unido y muchos otros países finalmente se infectaron como parte de estos ataques, revela el gigante tecnológico.

Según Microsoft, los ataques probablemente comenzaron como escaneos de puertos para máquinas con servicios RDP vulnerables a Internet, pero terminaron aprovechando el módulo BlueKeep Metasploit para ejecutar scripts de PowerShell y entregar mineros a los sistemas comprometidos.

“Los nuevos ataques de exploits muestran que BlueKeep será una amenaza mientras los sistemas permanezcan sin parches, no se logre la higiene de las credenciales y no se controle la postura general de seguridad. Se alienta a los clientes a identificar y actualizar los sistemas vulnerables de inmediato “, señala Microsoft.

fuente: https://www.securityweek.com/

Comments are closed.