Cyber ​​Security Today, 8 de diciembre de 2021: Microsoft y Google interrumpen las redes de bots y las noticias preocupantes sobre el malware Emotet

Microsoft y Google interrumpen las redes de bots, noticias preocupantes sobre el malware Emotet y más.

Bienvenido a Cyber ​​Security Today. Es miércoles 8 de diciembre. Soy Howard Solomon, escritor colaborador sobre ciberseguridad para ITWorldCanada.com.

Algunas buenas noticias para contarte:

Microsoft ha interrumpido las actividades de un grupo de piratas informáticos con sede en China. Esto se produce después de que un tribunal de EE. UU. Permitió a Microsoft apoderarse de los sitios web de la pandilla que llama Nickel. Los sitios se estaban utilizando para atacar organizaciones en 29 países, incluidas agencias gubernamentales, grupos de expertos y organizaciones de derechos humanos. Esta banda ha estado operando desde 2016, a veces comprometiendo la VPN de una organización objetivo, robando contraseñas de empleados mediante spear phishing o aprovechando servidores de Microsoft Exchange y SharePoint sin parches.

Google dijo se ha interrumpido temporalmente la infraestructura de comando y control detrás de una botnet de 1 millón de dispositivos Windows comprometidos. Llama a la botnet Glupteba. Ha estado robando las contraseñas de las víctimas, ocultando mineros de criptomonedas en sus computadoras y ejecutando el tráfico de Internet de otras personas a través de sus computadoras y enrutadores. Lo que hace que esta sofisticada botnet sea diferente de otras es que se defiende con un sistema basado en blockchain que recupera dominios de respaldo a través de tres billeteras bitcoin. Entonces, Google está intentando una posibilidad remota: está demandando a dos personas que se cree que están en Rusia por operar la botnet en violación de la ley de EE. UU.

Actores de amenazas sofisticados con sede en Rusia supuestamente asociados con el grupo de amenazas Nobelium, que estaba detrás del compromiso de actualización de SolarWinds Orion, se han detectado por investigadores de Mandiant. En un informe emitido esta semana, la compañía dijo que está viendo ataques contra proveedores de servicios para ingresar a otras organizaciones. En al menos una vez, se aprovechó una cuenta de VPN comprometida para profundizar en los sistemas de TI de una empresa. En otro caso, el atacante accedió al entorno de Microsoft 365 de la organización utilizando un token de sesión digital robado. En algunos casos, las víctimas fueron golpeadas después de visitar sitios web que ofrecían software gratuito o descifrado. Algunas víctimas que utilizan la autenticación multifactor basada en teléfonos inteligentes para proteger sus cuentas fueron engañadas por un ataque que lanzó repetidas solicitudes de MFA. El usuario que cedió y aceptó la autenticación fue pirateado. Los departamentos de TI deben reforzar la seguridad, en particular los que utilizan los servicios de federación de Active Directory de Microsoft, Azure AD. y Microsoft 365.

Por fin, Hace unas semanas informé que la botnet Emotet parecía haber regresado. Esta semana el servicio de noticias BleepingComptuer dice Recientemente, se ha observado que el malware Emotet instala directamente balizas Cobalt Strike en las computadoras de las víctimas tan pronto como son pirateadas. Eso significa que los actores de amenazas que usan Emotet pueden hacer que el robo de datos y los ataques de ransomware sean más rápidos después de la infección. Hasta ahora, Emotet instalaría troyanos en dispositivos infectados, lo que eventualmente conduciría a la descarga de balizas Cobalt Strike. Una firma de investigación dijo que no está claro si el despliegue de Cobalt Strike por Emotet es una prueba o si ya se está utilizando ampliamente. Independientemente, los equipos de TI deben redoblar sus esfuerzos para buscar y eliminar Cobalt Strike de sus sistemas.

Eso es todo por ahora Recuerde que los enlaces a los detalles sobre las historias de los podcasts están en la versión de texto en ITWorldCanada.com. Ahí es donde también encontrarás otras historias mías.

Siga Cyber ​​Security Today en Apple Podcasts, Google Podcasts o agréguenos a su Flash Briefing en su altavoz inteligente.