Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
10/07/2017
Tendencias de malware junio 2017. Destacado: NotPetya
Como todos los meses, desde el laboratorio de malware de S2Grupo comparten lo que se está cociendo en el mundo del malware.
Desde el blog de 'Security Art Work' nos comentan que lo más destacado este mes en cuanto a malware ha sido el ransomware Petya/NotPetya, del cual aun no se saben a ciencia cierta muchas cosas, como los vectores de entrada exactos y su finalidad, ya que dado que en principio no parece que se puedan generar claves de descifrado, se descarta la posibilidad de recuperar los ficheros perdidos. Desde este blog nos comentan lo siguiente.
Tiene varios detalles destacables, como la utilización de varias técnicas distintas para el movimiento lateral (desde Psexec hasta EternalBlue), disponer de su propia versión reducida de mimikatz para la obtención de credenciales en memoria, hasta el hecho de que además de cifrar ficheros, también cifra el sector de arranque del sistema, al igual que su supuesto predecesor Petya.
Además de NotPetya, este mes nos gustaría resaltar lo que indican los analistas de Unit42 en su artículo titulado “Decline in Rig Exploit Kit”. Según parece, apuntan a que los ExploitKits como vía de infección están usándose cada vez menos, y están cogiendo fuerza los ataques por ingeniería social, donde se engaña al usuario con actualizaciones falsas de Flash, Mozilla, etc. En estos momentos estos engaños y el malspam están siendo la principal vía de infección a los usuarios. En el artículo también advierte que esto va a temporadas, y puede que en unos meses vuelva el ExploitKit a subir “de popularidad” (los Exploit Kit se siguen usando, pero en menor medida).
Desde el laboratorio de malware hemos realizado varios análisis relacionados con Kovter, donde la vía de infección era la descarga de una actualización falsa de Mozilla Firefox y de Flash Player.
ExploitKits (EK) más activos
Para terminar, repasamos la reciente actividad de los distintos ExploitKits (EK) con más impacto durante este mes, que según hemos visto ha sido RIG EK. Este mes ha habido mucha menos actividad por parte de los EK en general, y en concreto RIG se ha centrado mucho en campañas de RATs ya típicos en el como Chthonic, Ramnit o Bunitu, y no hemos visto casos de ransomware por primera vez en mucho tiempo.
Como siempre, recordar que una de las mejores medidas para evitar infecciones a través de este vector de ataque, consiste en mantener actualizado tanto el navegador como cada uno de sus componentes.
Pueden ampliar la noticia en este enlace