Usan vulnerabilidad en Windows para ataques del ransomware Nokoyawa
abril 13, 2023Un grupo de cibercriminales utilizó un exploit desarrollado para diferentes versiones y compilaciones del sistema operativo Windows e intentó ejecutar el ransomware Nokoyawa, revela Kaspersky.
En febrero, los expertos de Kaspersky descubrieron un ataque que utilizaba una vulnerabilidad de día cero en el sistema de archivos de registro común (CLFS, por sus siglas en inglés) de Microsoft.
Microsoft corrigió ayer esta vulnerabilidad como parte de su “Martes de parches”. Sin embargo, el agente de amenazas también intentó ejecutar exploits similares de elevación de privilegios en ataques a pequeñas y medianas empresas en el Medio Oriente, América del Norte y, anteriormente, en regiones de Asia.
Si bien la mayoría de las vulnerabilidades descubiertas por Kaspersky son utilizadas por Amenazas Persistentes Avanzadas (APTs por sus siglas en inglés), ésta resultó ser explotada con fines cibercriminales por un sofisticado grupo que lanza ataques de ransomware y se destaca por el uso de exploits similares pero únicos del sistema de archivos de registro común (CLFS).
Kaspersky ha registrado al menos cinco exploits diferentes de este tipo, utilizados en ataques contra comercios minoristas y mayoristas, industrias de energía, manufactura, instituciones médicas, desarrollo de software, entre otras.
Microsoft asignó como CVE-2023-28252 al día cero descubiertos. Kaspersky detectó esta vulnerabilidad por primera vez durante febrero en un ataque en el que los ciberdelincuentes intentaron implementar una versión actualizada del ransomware Nokoyawa.
Las versiones anteriores de éste eran simplemente variantes “rebautizadas” del ransomware JSWorm. Sin embargo, en el ataque mencionado anteriormente, la variante Nokoyawa era bastante distinta al JSWorm en lo que se refiere al código base.
La vulnerabilidad utilizada en el ataque se desarrolló para soportar diferentes versiones y builds o compilaciones del sistema operativo Windows, incluido Windows 11. Los atacantes utilizaron la vulnerabilidad CVE-2023-28252 para elevar los privilegios y robar credenciales de la base de datos del Administrador de Cuentas de Seguridad (SAM, por sus siglas en inglés).
Para proteger a su organización contra ataques que se aprovechan de esta vulnerabilidad, los expertos de Kaspersky recomiendan:
Actualizar Microsoft Windows lo antes posible y hacerlo regularmente.
Utilizar una solución de seguridad para endpoints fiable, como Kaspersky Endpoint Security for Business, que funciona con prevención de exploits, detección de comportamiento y un motor de remediación que puede revertir acciones maliciosas.
Instalar soluciones anti-APT y de EDR, habilitando capacidades para el descubrimiento y detección de amenazas, investigación y la remediación oportuna de incidentes. Además, proporcionar al equipo SOC acceso a la información más reciente sobre amenazas y mejorar periódicamente sus habilidades con capacitación profesional. Todas estas herramientas están disponibles dentro del marco de Kaspersky Expert Security.
Junto con la protección adecuada para endpoints, los servicios dedicados pueden ayudar contra ataques más destacados. El servicio Kaspersky Managed Detection and Response puede ayudar a identificar y detener los ataques en sus primeras etapas, antes de que los atacantes logren sus objetivos.
Para más información sobre esta nueva vulnerabilidad de día cero en Securelist. Detalles adicionales se compartirán nueve días después del “Martes de parches” de abril para que las empresas tengan tiempo suficiente para actualizar sus sistemas.
