Microsoft ahora está bloqueando la puerta trasera Sunburst utilizada en el ciberataque SolarWinds que se ha cobrado numerosas víctimas en todo el mundo.
La puerta trasera Sunburst es una característica clave del ataque continuo a la cadena de suministro, y la publicación de una firma de malware global debería reducir considerablemente la amenaza.
¿Qué es el ciberataque de SolarWinds?
En diciembre de 2020, numerosas agencias gubernamentales de EE. UU. Anunciaron que fueron víctimas de una extensa operación de piratería. La puerta trasera del ataque se insertó mediante una actualización maliciosa a través del software de administración de TI y monitoreo remoto SolarWinds Orion.
En el momento de escribir este artículo, el hack de SolarWinds ha reclamado el Tesoro de EE. UU., Junto con los Departamentos. de Seguridad Nacional, Estado, Defensa y Comercio como víctimas, con el potencial de más revelaciones.
Relacionado: Estos expertos en seguridad están haciendo su vida más segura
Muchos "expertos en seguridad" no tienen la experiencia que afirman. Aquí hay varios expertos en seguridad que lo hacen y lo que están haciendo para mejorar la seguridad.
El verdadero alcance del ataque SolarWinds aún no se conoce. Hablando con el BBC, el profesor Alan Woodward, investigador de ciberseguridad, dijo: "Después de la Guerra Fría, esta es una de las penetraciones potencialmente más grandes de los gobiernos occidentales que yo conozca".
¿Qué es la puerta trasera Sunburst?
Un ataque tan vasto tomó meses, si no años, de planificación. El ataque se puso en marcha con la entrega de una actualización maliciosa no descubierta del software SolarWinds Orion.
Sin el conocimiento de SolarWinds y sus usuarios, muchos de los cuales son departamentos gubernamentales, un actor de amenazas había infectado una actualización.
La actualización se implementó para al menos 18,000 y potencialmente hasta 300,000 clientes. Cuando se activaba, la actualización activaba una versión troyanizada del software Orion, lo que permitía al atacante acceder a la computadora y a la red en general.
Este proceso se conoce como ataque a la cadena de suministro. El pirateo fue descubierto por FireEye, que fue víctima de una violación de datos de alto perfil relacionada en diciembre de 2020.
Relacionado: FireEye, empresa líder en ciberseguridad, golpeada por un ataque de un Estado-nación
los Informe FireEye el resumen dice:
Los actores detrás de esta campaña obtuvieron acceso a numerosas organizaciones públicas y privadas de todo el mundo. Obtuvieron acceso a las víctimas a través de actualizaciones troyanizadas del software de gestión y supervisión de TI Orion de SolarWind. Esta campaña puede haber comenzado ya en la primavera de 2020 y actualmente está en curso. La actividad posterior al compromiso después de este compromiso de la cadena de suministro ha incluido el movimiento lateral y el robo de datos.
Sunburst, entonces, es el nombre con el que FireEye está rastreando el ciberataque y el nombre que se le da al malware distribuido a través del software SolarWinds.
¿Cómo está Microsoft bloqueando la puerta trasera Sunburst?
Microsoft está implementando detecciones para sus herramientas de seguridad. Una vez que la firma de malware se implementa en Seguridad de Windows (anteriormente Windows Defender), las computadoras que ejecutan Windows 10 tendrán protección contra el malware.
Según el Equipo de inteligencia de amenazas de Microsoft 365 Defender Blog:
A partir del miércoles 16 de diciembre a las 8:00 a.m. PST, Microsoft Defender Antivirus comenzará a bloquear los archivos binarios maliciosos conocidos de SolarWinds. Esto pondrá en cuarentena el binario incluso si el proceso se está ejecutando.
Microsoft también ofrece los siguientes pasos de seguridad adicionales si encuentra el malware Sunburst:
- Aísle inmediatamente el dispositivo o los dispositivos infectados. Lo más probable es que si encuentra el malware Sunburst, es probable que su dispositivo esté bajo el control de un atacante.
- Si se utilizó alguna cuenta en el dispositivo infectado, debe considerarlas comprometidas. Restablezca cualquier contraseña relacionada con la cuenta o retire la cuenta por completo.
- Si es posible, comience a investigar cómo se vio comprometido el dispositivo.
- Si es posible, comience a buscar indicadores de que el malware se ha trasladado a otros dispositivos, lo que se conoce como movimiento lateral.
Para la mayoría de las personas, los dos primeros pasos de seguridad son los más importantes. También puede encontrar más información de seguridad en el Vientos solares sitio.
No hay confirmación de la identidad de los atacantes, pero se cree que el trabajo es obra de un equipo de piratería estatal altamente sofisticado y con buenos recursos.
El seguro contra delitos cibernéticos es una industria floreciente que muchas organizaciones están explorando. ¿Pero es una inversión que vale la pena?
- Seguridad
- Noticias tecnológicas
- Windows Defender
- Software malicioso
- Puerta trasera
Gavin es el editor junior de Windows and Technology Explained, un colaborador habitual del Really Useful Podcast, y fue el editor del sitio hermano de MakeUseOf centrado en cripto, Blocks Decoded. Tiene una licenciatura (con honores) en escritura contemporánea con prácticas de arte digital saqueadas de las colinas de Devon, así como más de una década de experiencia profesional en escritura. Disfruta de grandes cantidades de té, juegos de mesa y fútbol.
Suscríbete a nuestro boletín
¡Únase a nuestro boletín de noticias para obtener consejos técnicos, reseñas, libros electrónicos gratuitos y ofertas exclusivas!
Un paso más…!
Confirme su dirección de correo electrónico en el correo electrónico que le enviamos.