Crédito:CC0 Public Domain
Un exploit de seguridad llamado BlueKeep está en estado salvaje. Los observadores de seguridad en numerosos sitios informaron que los investigadores habían detectado evidencia de explotación. HotHardware dijo que hasta ahora las señales eran que las máquinas afectadas se estaban utilizando para extraer criptomonedas.
(El error en el Protocolo de escritorio remoto de Microsoft, dijo Cableado , "permite a un pirata informático obtener la ejecución remota completa de código en máquinas sin parche").
Davey Winder. que cubre la ciberseguridad, le dijo a los lectores en Forbes :La vulnerabilidad BlueKeep que existe en las versiones sin parches de Windows Server 2003, Windows XP, Windows Vista, Windows 7, Windows Server 2008 y Windows Server 2008 R2 han recibido una nueva noticia:"ahora se ha confirmado que un ataque de explotación BlueKeep está en curso".
Como Cableado dijo, los investigadores han encontrado evidencia "de que sus llamados honeypots, máquinas de cebo diseñadas para ayudar a detectar y analizar brotes de malware, se están comprometiendo en masa gracias a la vulnerabilidad BlueKeep".
Paul Lilly en HotHardware dijo que el investigador de seguridad Kevin Beaumont había notado que "múltiples honeypots en su red EternalPort RDP fallaban y se reiniciaban".
En julio Lilly había entregado un informe de que los investigadores de seguridad de Sophos crearon una demostración de prueba de concepto que muestra lo fácil que sería que BlueKeep pusiera en peligro un servidor RDP (Protocolo de escritorio remoto) sin parches. un error de Windows. En aquel momento, los investigadores esperaban que la demostración asustaría a las empresas para que parchearan Windows.
Entonces, avance rápido a este mes. ¿Cuál es el objetivo de BlueKeep? Andy Greenberg en Cableado dijo que "el hackeo generalizado de BlueKeep simplemente instala un minero de criptomonedas, absorbiendo el poder de procesamiento de una víctima para generar criptomonedas ".
No es que los expertos en seguridad no lo vieran venir. Forbes proporcionó un relato de los eventos.
"El 4 de junio "escribió Winder, "La Agencia de Seguridad Nacional (NSA) dio el paso inusual de publicar un aviso instando a los administradores de Microsoft Windows a actualizar su sistema operativo o arriesgarse a un 'impacto devastador' y de 'amplio alcance' frente a una amenaza creciente.
"Esta advertencia recibió aún más seriedad el 17 de junio cuando el gobierno de EE. UU., a través de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), emitió una alerta de actividad "actualizar ahora". Casi al mismo tiempo, Los investigadores de seguridad estaban prediciendo que un exploit 'devastador' de BlueKeep estaba a solo unas semanas de distancia ".
Ahora que estamos en noviembre, Kryptos Logic ha encontrado curioso "que esta vulnerabilidad de gusanos conocida públicamente, conocido por todos a los que les gustaría saber durante al menos seis meses, tomó tanto tiempo para ser detectado como arma. Uno podría teorizar que los atacantes saben que tienen esencialmente una oportunidad de usarlo a escala, y se convierte en un juego de gallinas saber quién lo hará primero ".
Lilly dijo que la buena noticia aquí es que no se propagó por sí mismo.
Threatpost compartió su observación. "Los primeros ataques que explotan la vulnerabilidad de Windows de día cero instalan criptomineros y escanean en busca de objetivos en lugar de un gusano con potencial WannaCry". Threatpost encontró que los ataques eran "inicialmente decepcionantes, "no es tan malo como podría haber sido. Como Cableado explicado, En lugar de un gusano que salta sin ayuda de una computadora a otra, estos atacantes parecen haber escaneado Internet en busca de máquinas vulnerables para explotar ".
Kryptos Logic ha concluido que la supuesta actividad era preocupante, {el blog de Kryptos Logic publicó un hilo de Twitter que informaba sobre BSOD, pantallas azules de la muerte, a través de la red de BlueKeep Honeypots de Beaumont] pero considere que la comunidad de seguridad de la información había predicho peores escenarios potenciales.
"Basándonos en nuestros datos, no estamos viendo un aumento en el escaneo indiscriminado en el puerto vulnerable como vimos cuando EternalBlue fue desparasitado a través de Internet en lo que ahora se conoce como el ataque WannaCry".
Bastante, dijo Kryptos Logic, Parecía probable que "un actor de bajo nivel escaneara Internet e infectara hosts vulnerables de manera oportunista utilizando utilidades de prueba de penetración listas para usar".
Elizabeth Montalbán en Threatpost , sin embargo, resumió por qué "esto no significa que los administradores de seguridad puedan estar tranquilos por el momento. Este desempeño inicial mediocre podría representar más la falta de sofisticación de los piratas informáticos que la naturaleza de la vulnerabilidad en sí". observaron los observadores ".
Greenberg también prefirió no olvidar posibles escenarios, de las máquinas afectadas por una muestra de malware más grave, y más virulenta, que aprovecha la persistente vulnerabilidad RDP de Microsoft. "Eso podría tomar la forma de un gusano ransomware en el modelo de NotPetya o también WannaCry, que infectó casi un cuarto de millón de computadoras cuando se propagó en mayo de 2017, causando daños entre $ 4 y $ 8 mil millones ".
© 2019 Science X Network