EDSI Trend

01/07/2021

Una vulnerabilidad crítica de día cero, que se ha llamado , está presente en el servicio de Windows "Print Spooler" y podría permitir tanto la ejecución de código remoto como elevación de privilegios de forma local. Si bien han salido parches de junio de Microsoft para una vulnerabilidad en Print Spooler (CVE-2021-1675), parece ser que esta vulnerabilidad no es resuelta por estos.

De momento, la única mitigación posible para esta vulnerabilidad consiste en deshabilitar el servicio de Print Spooler (Cola de impresión, en español), cosa que se recomienda sobre cualquier servidor donde no sea necesario que éste servicio esté en ejecución, principalmente en los controladores de dominio.

Más información: https://www.edsitrend.com/2021/07/01/vulnerabilidad-critica-de-dia-cero-en-windows-print-spooler-ejecucion-de-codigo-remoto-y-elevacion-de-privilegios/

28/01/2021

Gracias a un esfuerzo de coordinación a nivel global, las fuerzas de la ley lograron desbaratar la de , que tanto daño ha hecho estos últimos años y, debido tanto a su potencial de propagación como a su complejo funcionamiento, se ha convertido en una de las amenazas más resilientes y desafiantes de los últimos tiempos.

Más información:
https://www.edsitrend.com/2021/01/28/un-esfuerzo-coordinado-por-europol-y-eurojust-logra-hacerse-con-la-infraestructura-de-emotet/

Gracias a un esfuerzo de coordinación a nivel global, las fuerzas de la ley lograron desbaratar la botnet de Emotet, que tanto daño ha hecho estos últimos años y debido tanto a su potencial de propagación como a su complejo funcionamiento, se ha convertido en una de las amenazas más resiliente...

27/01/2021

Ya se encuentra disponible en nuestra web el resumen de las predicciones de para este año 2021. Analizando los desafíos de en base a tendencias del , consecuencias de la pandemia, y el crecimiento del teletrabajo.

https://www.edsitrend.com/2021/01/27/cambiando-la-marea-predicciones-de-ciberseguridad-para-el-2021/

26/01/2021

Ya se encuentra disponible en YouTube nuestro vídeo sobre las recientes campañas de distribución de , donde se hace uso de archivos ZIP protegidos por contraseña para evadir filtros en el correo electrónico y dificultar la detección en el endpoint.

Te contamos qué hace que sean difíciles de detectar, qué medidas puedes tomar para protegerte y qué tecnologías avanzadas pueden ayudarte a mantener tu correo protegido ante esta técnica de evasión.

Más información:
https://www.youtube.com/watch?v=anVUlQdaw0s

En este vídeo informamos sobre las recientes campañas de distribución de Emotet que buscan evadir ser detectadas a nivel de correo y en el endpoint mediante ...

07/01/2021

ha vuelto a la carga, esta vez con campañas más difíciles de detectar incluso para soluciones de protección en el correo electrónico.

Para lograr este objetivo, realizan el envío de sus documentos maliciosos dentro de archivos comprimidos protegidos por contraseña.

Más información sobre estas campañas y cómo puedes proteger a tu organización en nuestro blog: https://www.edsitrend.com/2021/01/05/emotet-nuevas-campanas-de-distribucion-llevan-adjuntos-protegidos-por-contrasena/

Estas últimas semanas, Emotet ha vuelto a la carga con una serie de campañas que son aún más difíciles de detectar que en ocasiones anteriores, buscando evadir filtros de protección en el correo electrónico mediante el envío de sus documentos con macros maliciosas dentro de archivos comprimi...

22/12/2020

Un supply chain attack a SolarWinds sirvió a cibercriminales para distribuir el a diversas organizaciones desde Marzo del 2020 como mínimo.

Entre los afectados, casi 420 empresas del Fortune 500 y varios organismos gubernamentales de los Estados Unidos.

Más información sobre este ataque, el backdoor en cuestión y cómo protegerte en nuestro blog: https://www.edsitrend.com/2020/12/17/supply-chain-attack-a-solarwinds-que-es-el-backdoor-sunburst/

Recientemente diversas organizaciones se vieron afectadas por un sofisticado ataque que brindó a los atacantes acceso a las redes corporativas medinte el despliegue de un backdoor. En esta entrada estaremos comentando acerca de cómo se llevaron a cabo estos ataques, de qué se hablamos cuando habl...

03/12/2020

tiene una nueva funcionalidad que le permite explotar y lograr a nivel de .

Con este tipo de persistencia, el malware sería capaz de resistir a un formateo e incluso el cambio de discos de almacenamiento del dispositivo infectado.

Más información: https://www.edsitrend.com/2020/12/03/trickbot-un-nueva-caracteristica-le-permite-obtener-persistencia-a-nivel-de-firmware/

TrickBot, el ya reconocido malware, ha recibido una nueva actualización que trae consigo una importante funcionalidad que le permite generar persistencia a nivel de firmware BIOS/UEFI.

10/11/2020

Cibercriminales detrás de operaciones de ransomware están llevando a cabo una serie de campañas de distribución de malware en las que buscan engañar a usuarios, haciendo mención a una supuesta actualización de Microsoft Teams, con el fin de que descarguen malware.

En gran cantidad de los casos que observó Microsoft, el último paso en estos ataques consistía en el despliegue de ransomware sobre el resto de los equipos en la red. Lo cual no es sorpresa teniendo en cuenta la cantidad de infecciones de Ryuk recientes en donde los atacantes utilizaban herramientas como Cobalt Strike para llegar a los controladores de dominio y desplegar el ransomware desde allí.

Más información: https://www.edsitrend.com/2020/11/10/nuevas-campanas-sobre-supuestas-actualizaciones-de-microsoft-teams-buscan-desplegar-cobalt-strike/

Cibercriminales detrás de operaciones de ransomware están llevando a cabo una serie de campañas de distribución de malware en las que buscan engañar a usuarios, haciendo mención a una supuesta actualización de Microsoft Teams, con el fin de que descarguen malware. Este tipo de campañas fue v...

06/11/2020

Los cibercriminales ya se encuentran intentando explotar una de las vulnerabilidades recientes en Oracle WebLogic (CVE-2020-14882) con el fin de desplegar Cobalt Strike sobre servidores vulnerables.

Esta vulnerabilidad crítica de ejecución de código remoto no requiere autenticación para ser explotada y por ello Oracle recomienda que se lleve a cabo lo antes posible la aplicación de los parches que la resuelven.

Más información:
https://www.edsitrend.com/2020/11/06/una-de-las-recientes-vulnerabilidades-de-oracle-weblogic-ya-se-encuentra-siendo-explotada/

Recientemente han salido a la luz dos vulnerabilidades de ejecución de código remoto sobre Oracle WebLogic, ya se están viendo ataques en activo intentando explotar una de ellas con el fin de obtener acceso remoto persistente a servidores vulnerables.

30/10/2020

El Ransomware Ryuk está de vuelta, y esta vez siendo distribuido en unas campañas que involucran al backdoor BazarLoader, la herramienta Cobalt Strike y la explotación de ZeroLogon para la llegada a los controladores de dominio con el finde desplegar el ransomware de forma masiva.

Más información:
https://www.youtube.com/watch?v=16ogwJDUHrk

El Ransomware Ryuk está de vuelta, y esta vez siendo distribuido en unas campañas que involucran al backdoor BazarLoader, la herramienta Cobalt Strike y la e...

14/10/2020

(CVE-2020-16898) Bad Neighbor: Una crítica en el stack TCP/IP que podría permitir la ejecución de código remoto.

La explotación exitosa de esta vulnerabilidad (crítica y con una puntuación base CVSSv3 de 9.8) se da a partir de una manipulación erronea de paquetes RA (Router Advertisement) ICMPv6.

Mediante el envío de paquetes diseñado de una manera particular, un atacante podría explotar la vulnerabilidad sobre un equipo remoto y llegar a la ejecución de código remoto.

Más información:
https://www.edsitrend.com/2020/10/14/bad-neighbor-vulnerabilidad-critica-en-el-stack-tcp-ip-que-podria-permitir-ejecucion-de-codigo-remoto/

Entre las 87 vulnerabilidades resueltas el Patch Tuesday de octubre de este año, destaca CVE-2020- 16898 (la cual ya es identficada como Bad Neighbor), la cual tiene su origen en el stack de TCP/IP y podría causar la ejecución de código remoto sobre un objetivo vulnerable.

13/10/2020

ya se encuentra siendo incorporado en ataques y piezas de malware.

Según reportes de Microsoft, el grupo de cibercriminales está llevando a cabo campañas donde compilan una versión de que incluye código de exploit para Zerologon.

Esto significa que pueden atacar cualquier servidor vulnerable y tomar control del mismo habiéndose ahorrado todo el trabajo de obtener credenciales de administrador, completando un ataque de domain hijacking.

Recientemente, este grupo fue responsable de la distribución del , por lo que se recomienda a toda organización proteger sus controladores de dominio lo antes posible.

Más información:

Un grupo de cibercriminales ya se encuentra lanzando ataques en los que incorpora a la vulnerabilidad, con el fin de tomar control de un controlador de dominio ahorrándose todo el trabajo de obtener las credenciales necesarias para ello.