La urgencia por reparar instalaciones de Adobe Flash Player se intensificó durante el fin de semana cuando se encontraron exploits de una vulnerabilidad de día cero recientemente arreglada en el Magnitude Exploit Kit.
El investigador francés Kafeine dijo el domingo que una muestra que se encontró fue dejando caer dos instancias de Cryptowall ransomware contra un equipo con Windows 7 con Internet Explorer 11. Cryptowall es una cepa de ransomware que cifra los archivos en el ordenador de la víctima y exige un rescate, generalmente pagado en Bitcoin . El FBI dijo la semana pasada que los consumidores han reportado pérdidas de más de $18 millones relacionados con Cryptowall infecciones.
Una actualización de emergencia para Flash fue lanzada el 23 de junio que arreglaba una vulnerabilidad explotada en ataques dirigidos por un grupo vinculado a China, dijo que la empresa de seguridad FireEye.
Las vulnerabilidades de Flash son un vector de ataque preferido de los hackers criminales y grupos patrocinados por el gobierno, debido a la ubicuidad del reproductor en máquinas Windows en especial. Estos grupos se están moviendo rápidamente en el desarrollo de exploits para vulnerabilidades parcheadas; Kafeine dijo que le tomó sólo cuatro días para que éste apareciera en magnitude, por ejemplo.Esta vulnerabilidad se debe priorizar, ya que ha sido explotada públicamente por lo menos desde el comienzo de junio y exponen a los usuarios casi tres semanas, dijeron los investigadores de FireEye.
El grupo responsable, apodado APT3 por FireEye, ha utilizado sus exploits para apuntar industrias críticas como la aeroespacial y de defensa, construcción e ingeniería, empresas de alta tecnología, telecomunicaciones y organizaciones de transporte. Los investigadores dijeron que los atacantes están lanzando una amplia red con correos electrónicos de phishing que se parecen más a los mensajes de tipo de spam que solicitan productos de Apple a bajo costo. Un enlace en los puntos de mensajería a sitios web controlados por el grupo APT que contiene el exploit de Flash incluye una puerta trasera conocida como SHOTPUT utilizada para mover datos robados de máquinas infectadas. El grupo, que se cree que es detrás de la operación clandestina Fox del año pasado, principalmente ambiciona la propiedad intelectual.
"Cada vez que uno de estos grupos usa vulnerabilidad día cero y la lanza a una amplia red como este caso, que es bastante importante, sobre todo porque la actividad se inició a principios de junio y no se lanzo parche hasta hace 2 dias," dijo el gerente de operaciones de inteligencia de FireEye Mike Oppenheim la semana pasada. "Esa es una gran ventana, y posiblemente miles de víctimas afectadas."
"Para las víctimas que han sido explotados, son rápidos moviedose", dijo Oppenheim. "Si ya has sido explotado, ya están moviendo lateralmente en la red, acaparando credenciales y soltando más puertas traseras."
Ahora que los delincuentes han integrado los exploits en Magnitude, esperan obtener algún beneficio contra las máquinas sin parches infectando con Cryptowall, la familia de ransomware que rápidamente se esta convirtiendo en una de las más prolíficas de su uso.
Hace casi tres semanas, el Instituto SANS advirtió que estaba observando un aumento en el tráfico de Angler Exploit Kit contiene Cryptowall 3.0 ransomware. El mismo grupo, SANS dijo, también podría haber estado detrás de una campaña de spam simultánea empujando la misma versión de Cryptowall. Cryptowall 3.0 encripta los archivos almacenados en un equipo comprometido y exige un rescate, por lo general $500 dolares en Bitcoin, a cambio de la clave de cifrado. El malware utiliza numerosos canales para comunicarse y enviar tráfico robado a sus dueños, incluyendo I2P y las redes de anonimato Tor.
 |
| Flash no actualizando, infectando con Cryptowall |
Una actualización de emergencia para Flash fue lanzada el 23 de junio que arreglaba una vulnerabilidad explotada en ataques dirigidos por un grupo vinculado a China, dijo que la empresa de seguridad FireEye.
Las vulnerabilidades de Flash son un vector de ataque preferido de los hackers criminales y grupos patrocinados por el gobierno, debido a la ubicuidad del reproductor en máquinas Windows en especial. Estos grupos se están moviendo rápidamente en el desarrollo de exploits para vulnerabilidades parcheadas; Kafeine dijo que le tomó sólo cuatro días para que éste apareciera en magnitude, por ejemplo.Esta vulnerabilidad se debe priorizar, ya que ha sido explotada públicamente por lo menos desde el comienzo de junio y exponen a los usuarios casi tres semanas, dijeron los investigadores de FireEye.
El grupo responsable, apodado APT3 por FireEye, ha utilizado sus exploits para apuntar industrias críticas como la aeroespacial y de defensa, construcción e ingeniería, empresas de alta tecnología, telecomunicaciones y organizaciones de transporte. Los investigadores dijeron que los atacantes están lanzando una amplia red con correos electrónicos de phishing que se parecen más a los mensajes de tipo de spam que solicitan productos de Apple a bajo costo. Un enlace en los puntos de mensajería a sitios web controlados por el grupo APT que contiene el exploit de Flash incluye una puerta trasera conocida como SHOTPUT utilizada para mover datos robados de máquinas infectadas. El grupo, que se cree que es detrás de la operación clandestina Fox del año pasado, principalmente ambiciona la propiedad intelectual.
"Cada vez que uno de estos grupos usa vulnerabilidad día cero y la lanza a una amplia red como este caso, que es bastante importante, sobre todo porque la actividad se inició a principios de junio y no se lanzo parche hasta hace 2 dias," dijo el gerente de operaciones de inteligencia de FireEye Mike Oppenheim la semana pasada. "Esa es una gran ventana, y posiblemente miles de víctimas afectadas."
"Para las víctimas que han sido explotados, son rápidos moviedose", dijo Oppenheim. "Si ya has sido explotado, ya están moviendo lateralmente en la red, acaparando credenciales y soltando más puertas traseras."
Ahora que los delincuentes han integrado los exploits en Magnitude, esperan obtener algún beneficio contra las máquinas sin parches infectando con Cryptowall, la familia de ransomware que rápidamente se esta convirtiendo en una de las más prolíficas de su uso.
Hace casi tres semanas, el Instituto SANS advirtió que estaba observando un aumento en el tráfico de Angler Exploit Kit contiene Cryptowall 3.0 ransomware. El mismo grupo, SANS dijo, también podría haber estado detrás de una campaña de spam simultánea empujando la misma versión de Cryptowall. Cryptowall 3.0 encripta los archivos almacenados en un equipo comprometido y exige un rescate, por lo general $500 dolares en Bitcoin, a cambio de la clave de cifrado. El malware utiliza numerosos canales para comunicarse y enviar tráfico robado a sus dueños, incluyendo I2P y las redes de anonimato Tor.
