Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
10/07/2017
Tendències de malware juny 2017. Destacat: NotPetya
Com tots els mesos, des del laboratori de malware de S2Grupo comparteixen el que s’està coent en el món del programari maliciós.
Des del blog de 'Security Art Work' ens comenten que el més destacat aquest mes, quant a programari maliciós, ha sigut el ransomware Petya/NotPetya, del qual inclús no se saben de ben cert moltes coses, com els vectors d’entrada exactes i la seua finalitat, ja que atès que en principi no pareix que es puguen generar claus de desxifrat, es descarta la possibilitat de recuperar els fitxers perduts. Des d’aquest blog ens comenten el següent.
Té diversos detalls destacables, com la utilització de diverses tècniques distintes per al moviment lateral (des de Psexec fins a EternalBlue), disposar de la seua pròpia versió reduïda de mimikatz per a l’obtenció de credencials en memòria, fins al fet que a més de xifrar fitxers, també xifra el sector d’arrancada del sistema, igual que el seu supòsit predecessor Petya.
A més de NotPetya, aquest mes ens agradaria ressaltar el que indiquen els analistes d’Unit42 en l’article titulat “Decline in Rig Exploit Kit”. Segons pareix, apunten que els ExploitKits com a via d’infecció estan usant-se cada vegada menys, i estan agafant força els atacs per enginyeria social, on s’enganya l’usuari amb actualitzacions falses de Flash, Mozilla, etc. En aquests moments, aquests enganys i el malspam estan sent la principal via d’infecció als usuaris. En l’article també adverteix que açò va a temporades, i potser en uns mesos torne l’ExploitKit a pujar “de popularitat” (els Exploit Kit es continuen usant, però en menor grau).
Des del laboratori de programari maliciós hem realitzat unes quantes anàlisis relacionades amb Kovter, on la via d’infecció era la descàrrega d’una actualització falsa de Mozilla Firefox i de Flash Player.
ExploitKits (EK) més actius
Per a acabar, repassem la recent activitat dels distints ExploitKits(EK) amb més impacte durant aquest mes, que segons hem vist ha sigut RIG EK. Aquest mes hi ha hagut molta menys activitat per part dels EK en general, i en concret RIG s’ha centrat molt en campanyes de RAT ja típiques, com Chthonic, Ramnit o Bunitu, i no hem vist casos de ransomware per primera vegada en molt de temps.
Com sempre, recordar que una de les millors mesures per a evitar infeccions a través d’aquest vector d’atac, consisteix a mantindre actualitzat tant el navegador com cada un dels seus components.
Poden ampliar la notícia en aquest enllaç.