La tecnología de Kaspersky Lab para prevención automática de exploits, integrada en la mayoría de las soluciones de endpoint de la empresa, ha detectado una serie de ataques cibernéticos dirigidos. Los ataques se deben a un nuevo malware que aprovechó una vulnerabilidad de día cero en el sistema operativo de Microsoft Windows. La intención era que los ciberdelincuentes pudieran obtener acceso persistente a los sistemas de las víctimas en el Medio Oriente, pero Microsoft subsanó la vulnerabilidad con un parche el pasado 9 de octubre.
Los ataques de día cero son una de las formas más peligrosas de amenazas cibernéticas, ya que implican la explotación de una vulnerabilidad que aún no ha sido descubierta ni corregida. Si los agentes de amenazas la encuentran, pueden utilizarla para crear un ataque que abrirá el acceso a todo el sistema. Este escenario de ataque es ampliamente utilizado por agentes avanzados en ataques APT, y se utilizó en este caso.
La vulnerabilidad descubierta de Microsoft Windows fue utilizada con las víctimas a través de una puerta trasera PowerShell. Luego fue ejecutada para obtener los privilegios necesarios que la instalaran persistentemente en los sistemas de las víctimas. El código malicioso era de alta calidad y fue escrito para permitir la explotación segura de tantas versiones de Windows como fuera posible.
Los ciberataques tuvieron como objetivo menos de una docena de organizaciones diferentes en el Medio Oriente a finales del verano. Se sospecha que el agente que maneja el ataque podría estar relacionado con el grupo FruityArmor, ya que este agente de amenazas ha utilizado exclusivamente una puerta trasera PowerShell en el pasado. Tras el descubrimiento, los expertos de Kaspersky Lab le informaron de inmediato a Microsoft sobre la vulnerabilidad.
Los productos de Kaspersky Lab detectaron esta vulnerabilidad de manera proactiva mediante las siguientes tecnologías:
El motor de detección de comportamiento de Kaspersky Lab y los componentes de prevención automática de ataques incluidos en los productos de seguridad de la compañía.
Advanced Sandboxing y el motor Antimalware incluidos en la plataforma Kaspersky Anti-Targeted Attack.
“Cuando se trata de vulnerabilidades de día cero, es fundamental vigilar activamente el panorama de amenazas en busca de nuevas vulnerabilidades. En Kaspersky Lab, nuestra constante investigación de inteligencia de amenazas no solo busca nuevos ataques y establece los objetivos de diferentes agentes de amenazas cibernéticas, sino que también nos proponemos a conocer qué tecnologías malintencionadas utilizan estos delincuentes. Como resultado de nuestra investigación, tenemos un nivel básico de tecnologías de detección que nos permiten prevenir ataques, como el que pretendía usar esta vulnerabilidad”, dijo Anton Ivanov, experto en seguridad para Kaspersky Lab.
Para evitar ataques de día cero, Kaspersky Lab le recomienda implementar las siguientes medidas técnicas:
- Evite el uso de software que es conocido a ser vulnerable o que se haya usado recientemente en ciberataques.
- Asegúrese de que el software utilizado en su empresa se actualice regularmente con las versiones más recientes. Los productos de seguridad con capacidades de evaluación de vulnerabilidades y administración de parches pueden ayudar a automatizar estos procesos.
- Utilice una solución de seguridad robusta, como Kaspersky Endpoint Security for Business, que está equipada con funciones de detección basadas en el comportamiento para contar con una protección eficiente contra las amenazas conocidas y desconocidas, incluso vulnerabilidades.
Encuentre más detalles sobre esta investigación en: Securelist.com.
El informe completo para nuestros clientes está disponible en Kaspersky Lab APT Intelligence Reporting