Estas son las vulnerabilidades más explotadas por las bandas de ransomware
Investigadores de seguridad han compilado una lista fácil de entender de las vulnerabilidades más comunes que las bandas de ransomware y sus afiliados están utilizando. Los ciberdelincuentes están utilizando estas vulnerabilidades como acceso inicial a las redes de las víctimas de ataques.
Todo esto comenzó con una llamada a la acción realizada por Allan Liska, miembro del CSIRT (equipo de respuesta a incidentes de seguridad informática) de Recorded Future, en Twitter durante el fin de semana.
Desde entonces, con la ayuda de varios otros colaboradores que se unieron a sus esfuerzos, la lista creció rápidamente. La lista aumentó para incluir vulnerabilidades de seguridad encontradas en productos de más de una docena de proveedores diferentes de software y hardware.
Si bien estas vulnerabilidades han sido o siguen siendo explotadas por un grupo de ransomware u otro en ataques pasados y en curso, la lista también se ha ampliado para incluir vulnerabilidades explotadas activamente. Tal como explicó el investigador de seguridad Pancak3
La lista se presenta en forma de diagrama. Este diagrama proporciona a los defensores un punto de partida para proteger su infraestructura de red de los ataques entrantes de ransomware.
Vulnerabilidades atacadas por grupos de ransomware en 2021
Solo este año, los grupos de ransomware y sus afiliados han agregado múltiples exploits a su arsenal, apuntando a las vulnerabilidades explotadas activamente.
Por ejemplo, esta semana, un número no revelado de afiliados de ransomware como servicio han comenzado a utilizar exploits de RCE. Estos exploits están dirigidos a la vulnerabilidad MSHTML de Windows recientemente parcheada (CVE-2021-40444).
A principios de septiembre, el ransomware Conti también comenzó a apuntar a los servidores de Microsoft Exchange. La banda vulneró redes empresariales utilizando exploits de las vulnerabilidades ProxyShell (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207).
En agosto, LockFile comenzó a aprovechar el método de ataque de retransmisión PetitPotam NTLM (CVE-2021-36942) para tomar el control de dominios de Windows en todo el mundo. La banda Magniber también se subió al tren de explotación PrintNightmare (CVE-2021-34527) y se detectó eCh0raix apuntando tanto a QNAP como a Dispositivos Synology NAS (CVE-2021-28799).
El ransomware HelloKitty se enfocó en dispositivos SonicWall vulnerables (CVE-2019-7481) en julio. Por otra parte, REvil vulneró la red de Kaseya (CVE-2021-30116, CVE-2021-30119 y CVE-2021-30120) y alcanzó aproximadamente 60 MSP usando la instalación de VSA en Servidores y 1500 clientes comerciales posteriores.
Asimismo, el ransomware FiveHands estuvo ocupado explotando la vulnerabilidad CVE-2021-20016 SonicWall antes de ser parcheado a fines de febrero de 2021.
Más ataques
QNAP también advirtió sobre los ataques del ransomware AgeLocker en dispositivos NAS utilizando una vulnerabilidad no revelada en firmware obsoleto en abril. Esto ocurrió justo cuando una campaña masiva del ransomware Qlocker atacó a los dispositivos QNAP sin parchear contra una vulnerabilidad de credenciales hard-coded (CVE-2021-28799).
El mismo mes, el ransomware Cring comenzó a cifrar dispositivos Fortinet VPN sin parchear (CVE-2018-13379) en las redes de empresas del sector industrial. Los ataques ocurrieron después de una advertencia conjunta del FBI y CISA de que los actores de amenazas estaban buscando dispositivos Fortinet vulnerables.
En marzo, los servidores de Microsoft Exchange en todo el mundo se vieron afectados por Black Kingdom y el ransomware DearCry. Estos ataques fueron parte de una ola masiva de ataques dirigidos a sistemas sin parche contra las vulnerabilidades de ProxyLogon (CVE-2021-26855, CVE-2021-26857, CVE- 2021-26858, CVE-2021-27065).
Por último, pero no menos importante, los ataques del ransomware Clop contra servidores Accellion (CVE-2021-27101, CVE-2021-27102, CVE-2021-27103, CVE-2021-27104). Los mencionados ataques tuvieron lugar entre mediados de diciembre de 2020 y continuaron en enero de 2021 e impulsaron la subida del precio promedio de rescates durante los primeros tres meses del año.
Lucha contra una creciente amenaza de ransomware
El ejercicio de Liska y sus colaboradores se suma a un esfuerzo continuo para defenderse de los ataques de ransomware. Recordemos que los ataques de ransomware han plagado a las organizaciones del sector público y privado en todo el mundo durante años.
El mes pasado, CISA se unió a Microsoft, Google Cloud, Amazon Web Services, AT&T, Crowdstrike, FireEye Mandiant, Lumen, Palo Alto Networks y Verizon como parte de la asociación Joint Cyber Defense Collaborative (JCDC). La organización está centrada en defender la infraestructura crítica del ransomware y otras amenazas cibernéticas.
La agencia federal también lanzó una nueva herramienta de auditoría de seguridad de autoevaluación de ransomware en junio. La herramienta está diseñada para ayudar a las organizaciones en riesgo a comprender si están equipadas para defenderse y recuperarse de ataques de ransomware dirigidos a tecnología de la información (TI), tecnología operativa (OT), o activos del sistema de control industrial (ICS).
La CISA proporciona una lista de verificación de respuesta al ransomware para las organizaciones que se han visto afectadas por un ataque de ransomware. La lista también contiene consejos sobre cómo protegerse contra el ransomware y respuestas a preguntas frecuentes sobre ransomware.
El Equipo de Respuesta a Emergencias Informáticas de Nueva Zelanda (CERT NZ) también ha publicado recientemente una guía sobre protección contra ransomware para empresas .
La guía de CERT NZ describe las rutas de ataque de ransomware e ilustra qué controles de seguridad se pueden configurar para proteger o detener un ataque.