Principales tendencias de ciberseguridad que afectaron a los usuarios de Windows durante 2019


Tiempo estimado de lectura: 4 4 minutos

El año 2019 fue testigo de varias incidencias nuevas y recurrentes de ciberataques, que dieron a las empresas noches de insomnio y al público en standard una carrera por la cobertura de seguridad. Sin embargo, hubo algunos malware de tendencia que continuaron creando estragos y continuaron manteniendo a los expertos en seguridad alerta.

Aquí hay una visión rápida de algunos de los ciberataques de tendencia en el sistema operativo Windows en 2019:

1. ¡DETENGA los sistemas de ataque de ransomware con grietas!

Con más de 180 extensiones en estado salvaje, Stop (.djvu) puede considerarse como el ransomware más extendido y de mayor tendencia del año 2019. infección El vector para este ransomware es un software package particularmente descifrado descargado de World wide web. En casos de computer software agrietado, el usuario tiende a ignorar la detección del antivirus y la ejecuta asumiendo riesgos, que es la razón principal de su éxito.

De acuerdo con las observaciones de Rapid Recover Security Labs, archivos o activadores agrietados para diferentes software como Tally, Minecraft, Nero 7, Autocad, Adobe Photoshop, Net Download Manager, Cyberlink Media Suite, Microsoft Office, VMware Workstation, DreamWeaver, Corel Attract Graphic Suite, Rapid Mend Complete Security, Ant Download Manager, IBEESOFT Details Restoration, Any Video Converter Greatest fueron vistos difundiendo este ransomware.

Con la introducción continua de nuevas extensiones, el autor de End continúa agregando diferentes grietas de computer software a su lista de infecciones. Para cada nueva extensión, sus servidores CnC en línea permanecen activos solo durante un cierto período. Después de eso, cambia a otra extensión. El monto recurring del rescate es de $ 980 por el cual ofrecen una concesión del 50% si se paga dentro de las 48 horas posteriores al cifrado.

Para mantenerse protegido, aconsejamos a nuestros usuarios:

  1. No use ni descargue software package agrietado.
  2. No instale application de fuentes no confiables.
  3. Mantenga siempre actualizadas sus definiciones de antivirus.
  4. No permita que se ejecuten aplicaciones sospechosas o maliciosas.
  5. Copia de seguridad de sus datos.

2. Emotet: continúa la propagación agresiva por todo el mundo

Emotet ahora es un nombre acquainted en el mundo de la seguridad cibernética. Es la amenaza más grave desde los últimos años. Después de un descanso prolongado a mediados de 2019, Fast Mend Stability Labs observó una nueva variante de Emotet con una nueva combinación de envoltura y algunas técnicas complejas de ofuscación.

Una cosa interesante notada fue el cambio en su patrón de comunicación, es decir, anteriormente enviaba todos los datos en el encabezado de cookie de las solicitudes GET, mientras que ahora se encontró que enviaba todos los datos como parte de las solicitudes Submit. Esto nuevamente enfatiza que la elección de una capa de protección avanzada es crítica sobre el enfoque convencional basado en firmas, para detener campañas de malware tan complejas.

Emotet continúa con su fe en los malspams para propagación. Curiosamente, utiliza correos electrónicos orientados geográficamente de acuerdo con señuelos y marcas en el idioma nearby. Además, elige los eventos actuales para la creación de spam, como a finales de 2019, se observaron correos electrónicos de spam con temática de Halloween.

Pocas medidas de seguridad a seguir:

  • No abra ningún enlace en el cuerpo del correo enviado por una fuente desconocida.
  • No descargue los archivos adjuntos recibidos por ninguna fuente no confiable.
  • Siempre energetic la protección de correo electrónico de su application antivirus.
  • No habilite las «macros» o el «modo de edición» al ejecutar el documento.

3. Uso de MySQL para ataques a empresas

Los servidores de bases de datos como MySQL, MongoDB, MSSQL, se utilizan para almacenar valiosos datos comerciales. Pero desafortunadamente, no todos son conscientes de la seguridad de estos datos comerciales almacenados. De hecho, aproximadamente el 90% de estas aplicaciones tienen credenciales como root: root, scott: tiger. En algunos casos, observamos que las personas incluso no usan credenciales para la cuenta raíz del servidor de bases de datos.

MySQL ha sido un objetivo recurring para usuarios maliciosos o piratas informáticos que desean explotar y robar datos. Este tipo de hazañas puede ser grave puede incluir poner software malicioso en su servidor internet y usar el sitio world-wide-web para alojar malware. El servidor MySQL se ejecuta como un servicio, por lo que se ejecuta con privilegios del sistema. Si el atacante ingresa a la crimson utilizando MySQL, se ejecuta con privilegios del sistema, por lo que puede acceder a todo en el host infectado sin ninguna vulnerabilidad. Ahora, una vez que el atacante obtiene acceso a la base de datos MySQL, puede manipular sus datos, eliminarlos o robarlos.

Los atacantes pueden jugar con la base de datos como si pudieran eliminar la tabla existente y crear una nueva tabla con fines maliciosos o utilizar MySQL como una entrada en el sistema Linux o Home windows y luego eliminar una puerta trasera. Cualquier aplicación ejecutada por mysqld.exe se ejecutará con privilegios del sistema y se puede usar para lanzar ataques de malware sin archivos. Hasta ahora, hemos visto que estos ataques MySQL se utilizan para eliminar ransomware e infector de virus, que finalmente elimina otra puerta trasera con capacidades de IoT.

4. Tácticas de vivir fuera de la tierra utilizadas por los atacantes

En los últimos años, ha habido un aumento en el uso de tácticas de Vivir fuera de la Tierra (LoLBins). Los atacantes utilizan activamente herramientas nativas de Home windows / sistema para llevar a cabo sus ataques. Usando LoLBins, los atacantes pueden eludir fácilmente las soluciones de seguridad tradicionales, eludir la lista blanca de aplicaciones, ejecutar ataques sin archivos y descargar otra carga útil. A continuación se detallan los ataques LoLBins ampliamente utilizados observados por Rapid Heal Safety Lab:

  1. Powershell.exe – PowerShell es una utilidad de interfaz de línea de comandos que puede ser utilizada por un atacante para realizar varias acciones, como ejecución de código, descubrimiento de crimson, información, etcetera.
  2. Certutil.exe – Certutil es una utilidad de línea de comandos en Home windows que se utiliza para obtener información de certificados y configurar Servicios de certificados. Los actores usaron esta herramienta para descargar la carga útil codificada.
  3. Mshta.exe – Mshta.exe es una utilidad responsable de ejecutar archivos .HTA (Aplicación HTML de Microsoft). Los atacantes ejecutan archivos HTA maliciosos como JavaScript o archivos VBScipt a través de aplicaciones legítimas.
  4. Regsvr32.exe – Regsvr32.exe es una utilidad de línea de comandos de Home windows utilizada para registrar y anular el registro de enlaces de objetos e incrustación de controles, incluidas las bibliotecas de enlaces dinámicos (DLL). Los atacantes usan esta utilidad para omitir la funcionalidad de listas blancas de procesos para cargar scriptlets COM para ejecutar archivos DLL maliciosos.
  5. Bitsadmin.exe – Bitsadmin.exe es un componente para el Servicio de transferencia inteligente en segundo plano de Home windows. Los atacantes usan esta herramienta para descargar, cargar y ejecutar la carga útil.

Nota: para obtener un informe más detallado sobre los ciberataques de tendencia de 2019, busque nuestro informe anual de amenazas que saldrá pronto …

¿Tienes algo que agregar a esta historia? Compártelo en el



Enlace a la noticia authentic