Η tecnologia Prevención automática de exploits de Kaspersky Lab - que está integrado en la mayoría de las soluciones de seguridad de la compañía para terminales - ha detectado una serie de ataques digitales dirigidos. Los ataques fueron intentados por un nuevo malware que explotó una vulnerabilidad de día cero generalizada en el sistema operativo. Microsoft Windows 10. La intención de los ciberdelincuentes era obtener acceso completo a los sistemas de las víctimas en Oriente Medio. Microsoft solucionó esta vulnerabilidad el 9 de octubre.
Un ataque de día cero es una de las formas más peligrosas de ciberamenazas, ya que implica explotar una vulnerabilidad que aún no se ha descubierto e identificado. Si es descubierto por un agente de amenazas, una vulnerabilidad de día cero podría usarse para crear un exploit que podría dar acceso a todo el sistema informático de la empresa y la industria del atacante. Esta forma de ataque está muy extendida por agentes de ataque de ART avanzados y también se ha utilizado en este caso.
El exploit, que se descubrió en el software de Microsoft Windows, llegó a las víctimas a través de una puerta trasera de PowerShell. Luego se llevó a cabo la explotación para que el remitente obtuviera los privilegios necesarios para estar presente en los sistemas de las víctimas. El código de malware era de alta calidad y estaba escrito para facilitar el funcionamiento eficiente de tantos Windows diferentes como fuera posible.
Los ataques digitales se han dirigido a menos de una docena de organizaciones destacadas en el Medio Oriente durante el verano pasado. Se cree que el equipo detrás del ataque es FruityArmor, ya que la puerta trasera de PowerShell ha sido utilizada exclusivamente por este equipo en el pasado. Inmediatamente después del descubrimiento, los expertos de Kaspersky Lab informaron de inmediato la vulnerabilidad a Microsoft.
Los productos de Kaspersky Lab detectaron este exploit de forma profiláctica utilizando las siguientes tecnologías:
- A través del motor de detección de comportamiento de Kaspersky Lab y las herramientas de propagación de prevención automática disponibles en todos los productos de seguridad de la empresa.
- Mediante el Sandboxing avanzado y el mecanismo Antimalware disponible en la plataforma Kaspersky Anti Targeted Attack.
Según lo declarado por Anton Ivanov, Especialista en seguridad de Kaspersky Lab,
"Cuando se trata de vulnerabilidades de día cero, es importante monitorear activamente el panorama de amenazas en busca de nuevas vulnerabilidades. En Kaspersky Lab, la búsqueda continua de amenazas inteligentes nos ayuda no solo a encontrar nuevos ataques, sino también a apuntar a diferentes amenazas digitales. También tenemos la intención de averiguar qué tecnologías maliciosas están utilizando estos delincuentes. "Como resultado de nuestra investigación, contamos con una poderosa herramienta de detección tecnológica que nos permite prevenir ataques, como el que estaba destinado a explotar esta vulnerabilidad".
Para evitar exploits de día cero, Kaspersky Lab recomienda las siguientes medidas técnicas:
- Evite el uso de software que se sabe que es vulnerable o que se ha utilizado recientemente en ataques digitales.
- Asegúrese de que el software utilizado por su empresa se actualice periódicamente a las últimas versiones. Los productos de seguridad con capacidades de evaluación de vulnerabilidades y administración de parches pueden ayudar a automatizar estos procesos.
- Utilice una solución de seguridad potente, como Kaspersky Endpoint Security for Business, que está equipada con capacidades de detección basadas en el comportamiento para una protección eficaz contra amenazas conocidas y desconocidas, incluidas las exposiciones.