Dominio malicioso en SolarWinds Hack convertido en «Killswitch» – Krebs on Stability


Un nombre de dominio malicioso clave que se united states of america para controlar potencialmente miles de sistemas informáticos comprometidos a través de la violación de un mes en el proveedor de software program de monitoreo de crimson. Vientos solares fue incautado por expertos en seguridad y utilizado como un «interruptor asesino» diseñado para convertir la extensa operación de ciberdelito en su contra, según ha aprendido KrebsOnSecurity.

SolarWinds, con sede en Austin, Texas, reveló esta semana que un compromiso de sus servidores de actualización de software a principios de este año puede haber resultado en el envío de códigos maliciosos a casi 18,000 clientes de sus Orión plataforma. Muchos Agencias federales de EE. UU. Y empresas de Fortune 500 utilizar (d) Orion para monitorear el estado de sus redes de TI.

El 13 de diciembre, la empresa de respuesta a incidentes cibernéticos FireEye publicó un informe detallado sobre la infraestructura de malware utilizada en el compromiso de SolarWinds, presentando evidencia de que el program Orion fue comprometido por primera vez en marzo de 2020. FireEye dijo que se vieron redes pirateadas comunicándose con un nombre de dominio malicioso: avsvmcloud (.) com – uno de varios dominios que los atacantes habían creado para controlar los sistemas afectados.

Como se informó por primera vez aquí el martes, hubo indicios en los últimos días de que el command sobre el dominio se había transferido a Microsoft. Cuando se le preguntó sobre el cambio, Microsoft remitió las preguntas a FireEye y a Ve papi, el registrador de nombres de dominio precise del sitio malicioso.

Hoy, FireEye respondió que la incautación del dominio fue parte de un esfuerzo de colaboración para evitar que las redes que pueden haber sido afectadas por la actualización del software package SolarWinds comprometida se comuniquen con los atacantes. Es más, la compañía dijo que el dominio se reconfiguró para actuar como un «interruptor automático» que evitaría que el malware continúe funcionando en algunas circunstancias.

«SUNBURST es el malware que se distribuyó a través del software package SolarWinds», dijo FireEye en un comunicado compartido con KrebsOnSecurity. «Como parte del análisis de FireEye de SUNBURST, identificamos un interruptor que evitaría que SUNBURST continúe funcionando».

La declaración continúa:

“Dependiendo de la dirección IP devuelta cuando el malware resuelve avsvmcloud (.) Com, bajo ciertas condiciones, el malware terminaría por sí mismo y evitaría una mayor ejecución. FireEye colaboró ​​con GoDaddy y Microsoft para desactivar las infecciones de SUNBURST «.

“Este killswitch afectará a las infecciones de SUNBURST nuevas y anteriores al deshabilitar las implementaciones de SUNBURST que todavía están transmitiendo señales a avsvmcloud (.) Com. Sin embargo, en las intrusiones que FireEye ha visto, este actor se movió rápidamente para establecer mecanismos persistentes adicionales para acceder a las redes de víctimas más allá de la puerta trasera de SUNBURST.

Este interruptor de muerte no eliminará al actor de las redes de víctimas donde han establecido otras puertas traseras. Sin embargo, será más difícil para el actor aprovechar las versiones previamente distribuidas de SUNBURST «.

Es possible que, dada su visibilidad y manage sobre el dominio malicioso, Microsoft, FireEye, GoDaddy y otros ahora tengan una idea decente de qué empresas aún pueden estar luchando contra las infecciones SUNBURST.

Las revelaciones de Killswitch se produjeron cuando los investigadores de seguridad dijeron que progresó en la decodificación de los métodos de comunicación ofuscados de SUNBURST. Firma china de ciberseguridad Equipo RedDrip publicó sus hallazgos en Github, diciendo que su herramienta decodificadora había identificado a casi un centenar de presuntas víctimas de la violación de SolarWinds / Orion, incluidas universidades, gobiernos y empresas de alta tecnología.

Mientras tanto, las posibles consecuencias legales para SolarWinds a raíz de esta infracción continúan empeorando. El Washington Publish informó el martes que los principales inversores en SolarWinds vendieron millones de dólares en acciones en los días anteriores a que se revelara la intrusión. El precio de las acciones de SolarWinds ha caído más del 20 por ciento en los últimos días. The Write-up citó a ex funcionarios encargados de hacer cumplir la ley en el Comisión de Valores de EE.UU (SEC) diciendo que es possible que las ventas provoquen una investigación por uso de información privilegiada.


Etiquetas: FireEye, GoDaddy, microsoft, Orion, RedDrip Group, Violación de SolarWinds, SUNBURST

Esta entrada se publicó el miércoles 16 de diciembre de 2020 a las 1:37 p.m. y está archivada en Violaciones de datos.
Puede seguir cualquier comentario a esta entrada a través del feed RSS 2..

Puede saltar hasta el last y dejar un comentario. Pinging no está permitido actualmente.





Enlace a la noticia original