Yaakov's Group | Ciberseguridad

Dos cepas de ransomware se dirigen al hipervisor ESXI de VMware a través de los créditos de vCenter robados

CARBON SPIDER y SPRITE SPIDER le brindan razones adicionales para parchear los problemas críticos de la semana pasada.

Recientemente se han actualizado dos variedades de ransomware para apuntar al hipervisor ESXi de VMware y cifrar archivos de máquinas virtuales, dice el proveedor de seguridad CrowdStrike.

Ninguno de los ataques ha encontrado un camino hacia ESXi en sí, lo cual es una buena noticia, ya que un ataque exitoso en el hipervisor de tipo uno significaría que los hosts podrían verse comprometidos. En cambio, ambos se basan en la búsqueda de credenciales para los servidores vCenter que se utilizan para administrar ESXi y las máquinas virtuales que atiende. No se relaje todavía, vAdmins, a menos que haya reparado la falla de calificación crítica revelada la semana pasada que permite la ejecución remota de código en un servidor vCenter.

CrowdStrike dice que las dos cepas de ransomware que se ha observado que atacan a ESXi se denominan CARBON SPIDER y SPRITE SPIDER.

Tampoco son jugadores nuevos. SPRITE SPIDER se ha observado desde al menos julio de 2020 y le gusta el ransomware llamado «Defray777».

Cuando quien maneja SPRITE SPIDER tiene en sus manos los credenciales de vCenter, una hazaña que logra sacándolos de los navegadores o de la memoria del host, CrowdStrike dice que “generalmente escribe la versión de Linux de Defray777 en / tmp /, usando un nombre de archivo que intenta hacerse pasar por un herramienta (p. ej., svc-new) «.

Una vez que esa herramienta se está ejecutando, SPRITE SPIDER «enumera la información del sistema y los procesos en el host ESXi mediante los comandos de lista de procesos uname, df y esxcli vm». Una vez hecho ese trabajo, finaliza la ejecución de las máquinas virtuales y las cifra.

La banda también sabe lo suficiente sobre VMware y ESXi que intenta desinstalar VMware Fault Domain Manager, una herramienta que reinicia automáticamente las VM fallidas.

CARBON SPIDER ha estado circulando desde 2016 y solía apuntar a dispositivos de punto de venta, pero en agosto de 2020 desarrolló su propio ransomware llamado «Darkside» e incluso creó una versión adaptada para atacar hosts ESXI. Esa versión centrada en VMware apunta a algunos de los formatos de archivo utilizados por ESXI y los cifra.

«Los archivos se cifran mediante el algoritmo ChaCha20 con una clave de 32 bytes y un nonce de 8 bytes, generados de forma única por archivo», dicen los analistas de CrowdStrike. «La clave ChaCha20 y el nonce luego se cifran utilizando una clave pública RSA de 4096 bits que está incrustada en el ransomware».

Los investigadores de CrowdStrike, Eric Loui y Sergei Frank, opinan que atacar a ESXi le da a la escoria de ransomware una recompensa potencial mayor porque tienen la posibilidad de cifrar todas las máquinas virtuales que tiende el hipervisor.

“Si estos ataques de ransomware en servidores ESXi continúan teniendo éxito, es probable que más adversarios comiencen a apuntar a la infraestructura de virtualización a mediano plazo”, escriben los dos investigadores de CrowdStrike.

Y ahora que VMware va todo incluido en las nubes híbridas, un solo inicio de sesión de vCenter podría incluso llegar a la nube pública.

Yaakov´s Group tiene la solución, te asesoramos para fortalecer la ciberseguridad en tu organización ¡Contáctanos! #Laexperienciaentecnología #cybersecurity #digitaltransformation  #Appsec #devops #devsecops

Fuente: The Register

 

ISC publica avisos de seguridad para BIND

El Consorcio de Sistemas de Internet (ISC) ha publicado avisos de seguridad que abordan las vulnerabilidades que afectan a múltiples versiones de ISC Berkeley Internet Name Domain (BIND). Un atacante remoto podría aprovechar estas vulnerabilidades para provocar una condición de denegación de servicio.

La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) alienta a los usuarios y administradores a revisar los siguientes avisos de ISC para obtener más información y aplicar las actualizaciones necesarias.

Fuente: CISA

Nuevos protocolos de red abusados para lanzar ataques de denegación de servicio distribuido a gran escala (DDoS)

La Oficina Federal de Investigación emitió una alerta la semana pasada advirtiendo sobre el descubrimiento de nuevos protocolos de red que han sido explotados para lanzar ataques de denegación de servicio distribuido a gran escala (DDoS).

La alerta registra tres protocolos de red y una aplicación web como vectores de ataque DDoS recién descubiertos.

La lista incorpora CoAP (Protocolo de aplicación restringida), WS-DD (Descubrimiento dinámico de servicios web), ARMS (Servicio de administración remota de Apple) y el software de automatización basado en la web de Jenkins.

Tres de los cuatro (CoAP, WS-DD, ARMS) acaban de ser explotados en realidad para lanzar monstruosos ataques DDoS, dijo el FBI dependiendo de los informes anteriores de ZDNet.

COAP

En diciembre de 2018, los actores cibernéticos comenzaron a explotar las funciones de transmisión de comandos y multidifusión del Protocolo de aplicación restringida (CoAP) para liderar la reflexión DDoS y los ataques de amplificación, generando un factor de mejora de 34, como lo indican los informes de código abierto.

WS-DD

En mayo y agosto de 2019, los ciber-actores abusaron de la convención de descubrimiento dinámico de servicios web (WS-DD) para lanzar más de 130 ataques DDoS, con algunos alcanzando tamaños de más de 350 Gigabits por segundo (Gbps), en dos flujos de ataque separados , como lo indica el informe de código abierto.

ARMS

En octubre de 2019, los ciber actores abusaron del Servicio de administración remota de Apple (ARMS), una parte de la función de Escritorio remoto de Apple (ARD), para liderar los ataques de amplificación DDoS, según informes de código abierto.

JENKINS

En febrero de 2020, los investigadores de seguridad del Reino Unido identificaron una vulnerabilidad en los protocolos de descubrimiento de red inherentes de los trabajadores de automatización de código abierto y libres de servidores de Jenkins utilizados para ayudar al proceso de desarrollo de software que los ciber actores podrían explotar para realizar ataques de amplificación DDoS, como lo indica open -informe de fuente.

Los funcionarios del FBI creen que estas nuevas amenazas DDoS se seguirán explotando aún más para causar tiempo de inactividad y daños en el «futuro previsible».

La razón de la alerta es advertir a las compañías estadounidenses sobre el ‘peligro inminente’, para que puedan poner recursos en los sistemas de mitigación de DDoS y crear asociaciones con sus proveedores de servicios de Internet para responder rápidamente a cualquier ataque que utilice estos nuevos vectores.

A partir de ahora, estos cuatro nuevos vectores de ataque DDoS se han utilizado de manera inconsistente, sin embargo, los especialistas de la industria anticipan que serán ampliamente abusados por los servicios DDoS de alquiler.

Fuente: ehackingnews

Dominios de Estafa de Criptomonedas

El sitio Pastebin.com ha publicado un listado con 391 dominios los cuales están identificados como sitios de estafas de criptomonedas:

20eth.com
2xbinance.com
5000coins.com
5000fast.com
airdrop2019.com
airdrop2020.com
airdropseth.com
tesla2020mar15.s3-us-west-2.amazonaws.com
applebtc.net
applebtc.org
b-nance.com
bchdrop.com
bchdrop.net
bchdrops.com
bezos.xyz
bezosbtc.info
bezosfree.info
bill-gates.info
billgates.capital
billgatescoins.com
billgatescomp.info
billgatescrypto.com
billgatesfunds.com
billgatesgive.com
billgateshelp.com
billgive.info
binance-2.com
binance-airdro.online
binance-btc.net
binance-cryptovaganza.org
binance-gift.pro
binance-gift.store
binance-giveaway.top
binance-gives.com
binance-team.tech
binance-trade.com
binance10x.com
binance2.club
binance2.com
binance2.vip
binance2x.com
binance5000.info
binancebegin.com
binancebonus.com
binancedeals.com
binancedeals.net
binancedrop.org
binancefeast.net
binanceforce.com
binanceforce.net
binancefree.com
binancefree.net
binancefund.net
binancegift.net
binancegiveaway.exchange
binancegiveaway.net
binancegiveaway.top
binancejoin.net
binancemega.net
binancenow.net
binancepromo.net
binances.us
binancestart.com
binancestart.net
binancesuper.net
binancetake.net
binanceteam.net
binanceteams.net
binancetop.com
binancevalue.com
binancevent.net
binancevisit.net
binclic.com
binevent.org
bitcoindrop.org
bitcointesla.me
bitcoinxmarket.com
bitmex-giveaway.com
bitmex-news.online
bitmexdrop.com
bittrexpromo.com
bloombergbtc.net
bonuspacex.com
brad-xrp.online
bradbtc.com
bradripple.com
brainpromo.info
btc-airdrop.net
btc-ali.com
btc-binance.site
btc-bonus.com
btc-drop.com
btc-gemini.info
btc-musk.net
btc-musk.org
btc10.org
btc5k.com
btcbonus.online
btcevent.net
btcevent.org
btcgatesbill.com
btckim.org
btcmcafee.com
btcpresent.net
btcwin.org
btcxbonus-participatenow.com
btcxinvest.com
cdnjs.su
cham-btc.com
coinbase-bonus.com
coinbase-bonus.net
coinbase-btc-give.com
coinbase-drop.com
coinbase-gift.com
coinbase-giveaway.online
coinbase-giving.com
coinbase-live-giveaway.com
coinbase-promo.com
coinbase-promo.net
coinbase-team.com
coinbase-x2.live
coinbase.ceo
coinbase.gifts
coinbase.promo
coinbase2020.pro
coinbase5000.com
coinbase5k.com
coinbasebonus.net
coinbasebtc.net
coinbasebtc.org
coinbasecheck.com
coinbasecomp.info
coinbasedrop.org
coinbasedrops.com
coinbasegift.info
coinbasegive.com
coinbasegive.us
coinbasegives.com
coinbasegiving.com
coinbasegold.com
coinbasehelper.info
coinbasejoin.info
coinbaseone.com
coinbasepro.gift
coinbasepro.tech
coinbasepromo.info
coinbasepromo.xyz
coinbasepromotion.com
coinbaserewards.com
coinbaseteam.com
coinbasetoday.info
coinbasetop.com
coinbasewin.com
coindeskbtc.com
coinprobase.info
coinprobitcoin.com
coinproevent.com
coinprofunding.com
com-y.ru
covid-ether.com
craig-wright.org
crypto-mcafee2020.com
crypto-promo.info
crypto-promo.net
crypto-promo.store
cryptoextra.net
cryptofollow.com
cryptoforhealth.com
cryptogates.company
cryptogates.info
cryptogates.ltd
cryptomcafee.net
cryptopromo.tech
cryptovaganza.net
ctoken.info
cz-btc.info
dogeblack.com
donaldchristmas.com
doubler.link
drop-binance.com
dropbycoinbase.com
elon-prize.tech
elon-promo.site
elon3-promo.com
elonchristmas.com
elonchristmas.net
eloncoins.info
elonevent.com
elonevent.world
elongivesbtc.com
elonmusk-present.com
elonmusk.expert
elonmusk.market
elonmusk.promo
elonmuskad.com
elonmuskgift.net
elonmuskgive.com
elonpresent.com
elonpromo.space
elonsave.life
elonshares.com
elonxevent-participatenow.com
elonxfunds-joinpromotion.com
elonxgive.net
elonxgive.team
elonxmas.com
elonxmas.net
erik-btc.com
eth-buterin.top
eth-give.info
ethairdrops.com
ethgift.com
ethgift.pro
ethprize.org
ethpromo.news
ethxevent-participate.com
event-spacex.com
eventbinance.com
floydbtc.net
fordbtc.org
freebybtc.com
freecoinbase.org
freexrp.tech
fundseth-aprilpro.com
gates-btc.info
gates-btc.net
gates-promo.info
gates-promo.org
gates.events
gatesbtcgiveaway.com
gatescoin.media
gatescoins.fund
gatescrypto.live
gatescrypto.net
gatesevent.tech
gatesfounder.info
gatesgive.me
gateshelp.info
gemini-btc.com
gemini-btc.net
gemini-btc.org
geminilive.org
get-btc.pro
get2xcrypt.com
getmcafee.net
getpromo.me
giftcoinbase.com
give-coinbase.online
give5k.com
johnmcafeebtc.net
ledgerbtc.club
linuxbtc.info
linuxbtc.me
linuxbtc.net
linuxbtc.org
linuxcoins.me
linuxdrop.me
linuxdrop.org
linuxgift.com
linuxgive.info
linuxgive.me
linuxgive.net
linuxgive.org
linuxgivebit.com
linuxgivebit.info
linuxgivebtc.com
linuxgivebtc.me
linuxgivebtc.net
linuxgiveme.com
linuxgiveme.net
linuxhelp.me
linuxpromo.com
ltcprize.com
marketxbitcoin.com
mcafee-crypt.com
mcafee-crypto-extravaganza.online
mcafee-crypto-extravaganza.org
mcafee-crypto-promo.online
mcafee-prize.online
mcafee2020.net
mcafee2020.xyz
mcafeeairdrop.com
mcafeeairdrop.net
mcafeebig.net
mcafeebonus.net
mcafeechristmas.com
mcafeechristmas.net
mcafeecrypto.online
mcafeecrypto.tech
mcafeeget.net
mcafeegroup.org
mcafeepresent.com
mcafeepromo.net
mcafeespecial.net
mcafeetoday.com
mcafeexbtc.com
mcf-crypt.net
medium-crypto.online
mrgatescoins.info
mrgatesgive.com
musk-elon.com
musk-elon.net
musk-event.com
musk.ml
muskelon.cf
muskelon.ga
muskelon.net
muskgive.com
muskgive.top
oprahbtc.org
panterabtc.com
pro-ethbonus-aprilcampaign.com
proairdrop.pro
probase-btcevent-april.com
probtccampaign.com
probtcpromo.com
probtcpromotion.com
procoinbase.co
procreditbank.rs
proeth-event-april.com
proether-fundsrelease-participate.com
promo-coinbase.info
promo-twitter.info
promoapple.info
promobinance.net
promocoinbase.fun
promocoinbase.info
promocoinbase.online
promocoinbase.site
promocoinbase.xyz
promoeth.com
promoget.net
promosuper.net
promotwitter.info
promotwitter.site
promoxrp.tech
robertbtc.net
robertbtc.org
rogerverbch.com
sonyxbtc.com
spacex-btc.info
spacex.bz
spacex.events
spacex.ooo
spacex.tips
spacex.world
spacexbest.info
spacexbonus.com
spacexbonus.info
spacexdrop.info
spacexfunds-participate.com
stevepromo.com
taleb-btc.info
tesla-x2.cc
tesla.bz
teslacoin.info
teslagive.com
teslagive.org
teslagives.info
teslaraffle.live
teslaspace.info
teslawallet.info
thanksfrombinance.net
thebezos.xyz
thebtcpromo.com
thecoinbasepro.com
tokengiveaway.in
tomleebtc.com
top-coinbase.com
totalh.net
touchdownworld.cz
twittdrop.me
twitter-btc.org
twitterbtc.net
twitterdrop.me
twitterpromo.info
uscryptorelief.com
walmartbtc.live
walmartbtc.me
webcindario.com
win-coinbase.com
wozapple.com
wozbtc.com
wozbtcfunds-joinpromotion.com
x10cryptocurrency.com
xrp-info.com
xrpchristmas.com
xrpdouble.live
xrpgive.info
xrplive.info
youlabuy.ru

Fuente: https://pastebin.com/h64CK3CG