Los Ataques Masivos de Ransomware en 2020: ¿Cómo Sobrevivir en 2021?

Utilizar RidgeBot® Para Conseguir una Gestión de Seguridad Basada en los Riesgos de la Compañía

Un ataque de ransomware es una forma de chantaje, y los pagos han aumentado drásticamente desde el año 2020 A menudo resultaba que cada dos días salían noticias de algún lugar del mundo sobre otra empresa afectada por un ataque de ransomware que tenía consecuencias devastadoras, extorsiones y pagos cada vez mayores.

En 2020, el ransomware produjo suficientes daños como para consolidar su posición como riesgo en la sala de juntas. Todos los aspectos de los ataques van en aumento.

Descargar

Please complete the form to download the white paper.

Document Download Form

Blackfog informa que “los ciberataques de ransomware son un gran negocio… las investigaciones anticipan que una empresa es atacada por un ciberdelincuente cada 11 segundos y los costes de los daños de estos ataques alcanzarán alrededor de [US]$20 mil millones de dólares en el 2021.” Un ataque al Hospital Universitario de Düsseldorf, en Alemania, en septiembre del 2020, provocó la pérdida de vidas humanas, ya que un paciente de urgencia tuvo que ser desviado a otro centro y no pudo ser atendido a tiempo.

Tendencias en Ransomware

Varias tendencias son las que condujeron al rápido aumento tanto de la frecuencia como del tamaño de los ataques en el 2020. Los autores de las amenazas también están adaptando su libro de jugadas para obtener pagos mayores y más seguros.

Tendencias que Impulsan el Incremento en la Incidencia de los Ataques de Ransomware

La evolución de los negocios y del sector ha aumentado considerablemente las posibilidades de ataques a las redes de las pequeñas empresas, organizaciones y administraciones públicas. Otras tendencias han abierto nuevas oportunidades.

Migración a la nube: La tecnología basada en la nube ha crecido rápidamente en los últimos años, proporcionando un importante ahorro de costos y agilidad empresarial a organizaciones de todos los tamaños. Las plataformas y los servicios en la nube ofrecen a las empresas una flexibilidad mucho mayor en cuanto a almacenamiento, computación y necesidades de crecimiento y reducción con tarifas de pago por uso en lugar de una fuerte inversión en infraestructura de capital.

La Pandemia de Covid-19 y el trabajo desde cualquier lugar: La reacción mundial a la pandemia provocó un cambio trascendental y repentino hacia una fuerza de trabajo profesional mayoritariamente desde cualquier lugar (WFA). Los esfuerzos urgentes de las organizaciones para mantener la continuidad del negocio durante los cierres por Covid-19 aceleraron además la ya fuerte tendencia a la migración a la nube. Juntas, las tendencias de la nube y la WFA han disuelto el tradicional perímetro rígido de la red empresarial, sustituyéndolo por un perímetro definido por software (SDP) que recorre todas las superficies de la red abiertas al acceso a Internet. Las empresas están luchando con las capacidades y tecnologías siempre cambiantes para asegurar adecuadamente este nuevo perímetro flexible y el acceso WFA a través de Internet.

IoT: Los dispositivos de bajo costo no gestionados están creciendo en las redes para automatizar, observar, informar, medir, monitorear y vigilar una amplia gama de dispositivos y situaciones de consumo y comercio, desde la industria manufacturera hasta la agricultura. Los dispositivos IoT suelen utilizar copias obsoletas de pilas TCP/IP de código abierto, carecen incluso de capacidades de seguridad rudimentarias y no ofrecen ninguna metodología para rastrear o instalar parches para las vulnerabilidades conocidas.

Otras tendencias más específicas sobre el ransomware también provocaron un aumento considerable en la sofisticación, la gravedad y la eficacia financiera de los ataques.

Ransomware-as-a-Service (RaaS): En el pasado, los objetivos de los ataques eran naturalmente limitados porque solo unos pocos actores de amenazas altamente cualificados tenían la infraestructura, la capacidad técnica y la metodología de ejecución afinada para infiltrarse en las redes bien protegidas de las grandes organizaciones.

Siguiendo el mismo camino de facilidad de despliegue con poca habilidad que SaaS, IaaS y PaaS han capitalizado, RaaS ahora también se ha trasladado a la nube donde se pueden desplegar fácilmente kits de ransomware altamente personalizados, comprados en la web oscura. Esto ha rebajado el listón de entrada y ha permitido a una población mucho mayor de actores de amenazas lanzar ataques sofisticados. RaaS ofrece diferentes tipos de programas de socios afiliados, con un portal web completo en el que los afiliados pueden obtener kits actualizados. REvil/Sodinokibi y Netwalker son ejemplos que utilizan un modelo RaaS.

Spam y phishing: Este ha sido durante mucho tiempo la puerta de entrada más exitosa para el malware, pero la pandemia de Covid-19 ha acelerado esta tendencia con muchas nuevas oportunidades al aprovecharse de los temores de las personas y explotar las vulnerabilidades abiertas por las configuraciones de WFA. Los actores de la amenaza fingen ser organizaciones que proporcionan información sobre el Covid-19, estadísticas, programas gubernamentales de ayuda económica, equipos de protección personal o información sobre vacunas.

Pago con Bitcoin: La creciente popularidad y disponibilidad de criptomonedas como el bitcoin ofrecen métodos de pago sin trazabilidad, sin opción de disputa y con transacciones no cancelables.

Evolución de los Enfoques en los Ataques de Ransomware

El ransomware sigue dirigiéndose ocasionalmente a los consumidores, pero la gran mayoría de los ataques han pasado a centrarse en objetivos corporativos y gubernamentales. La infiltración inicial de activos es casi tan fácil y las oportunidades de pago son enormes.

En el 2020, los actores de las amenazas han apuntado específicamente a las grandes organizaciones, y a menudo a aquellas con exposición regulatoria. La perspectiva de las multas reglamentarias y el daño a la reputación resultante de las violaciones de la privacidad de los datos expuestas públicamente aumentaron significativamente la tasa de éxito de los pagos, así como los importes de los mismos.

SOCRadar Labs informa de que los negocios más afectados por el ransomware en el 2020 son la industria manufacturera, la administración pública y los servicios profesionales; organizaciones especialmente reacias al tiempo de inactividad.

El ransomware ha experimentado un considerable aumento en su virulencia, y—potenciado por RaaS—una mayor población de actores de amenazas que pueden dirigirse a un mayor número de víctimas.

Además de simplemente pedir un rescate por los datos de una organización mediante el cifrado, un número cada vez mayor de los ataques más recientes combina el cifrado con la extorsión para aumentar la probabilidad de un pago. En estos ataques combinados, el actor de la amenaza primero obtiene acceso a los activos de la organización y exfiltra sus datos, y sólo entonces los cifra. Si la organización se niega a pagar por la clave de descifrado, el actor de la amenaza expone los datos exfiltrados poniéndolos a disposición del público o subastándolos en la web oscura, dañando así la reputación y el bienestar financiero de la organización.

Esta tendencia hace quelos ataques de ransomware se conviertan también en violaciones de datos. También obliga a la gestión de la seguridad de las organizaciones a reevaluar el riesgo y la respuesta a los incidentes, y a ajustar las estrategias de recuperación de desastres y de continuidad del negocio. Los grupos de ransomware siguen aprovechando esta táctica de exfiltración de datos y extorsión, aunque la confianza en que los datos robados serán eliminados se está erosionando, ya que el incumplimiento de las promesas es cada vez más frecuente a pesar de que la víctima pague el rescate.

Los actores de las amenazas también han aprovechado el hecho de que las empresas están distraídas durante laa pandemia del Covid-19. Mientras se lleva a cabo una reingeniería de emergencia de la red y la informática para garantizar la continuidad del negocio, las vulnerabilidades de seguridad expuestas por las migraciones a la nube y la WFA a menudo permanecen sin resolver durante un período de tiempo. La proliferación de configuraciones WFA que utilizan RDP y otras tecnologías de acceso remoto permiten a los actores de las amenazas aprovechar vectores de ataque que antes no existían.

En los últimos dos años, el promedio de pago de rescates también ha aumentado significativamente, como se muestra en el Informe Mensual de Ransomware de Blackfog. Este aumento se atribuye en parte a que los atacantes se dirigen cada vez más a las grandes empresas.

Desde el punto de vista geográfico, los ataques de ransomware se dirigen principalmente a Asia, América del Norte y Europa, aunque ningún país u organización del mundo está exento.

Tradicionalmente, los actores de las amenazas se han dirigido a los sistemas Windows por ser la mayor base de sistemas operativos instalados, pero como los sistemas MacOS han ganado cuota de mercado en los últimos tiempos, estas plataformas también son objeto de ataques cada vez más frecuentes.

Un informe de mercado de Coveware indica que las estadísticas del tercer trimestre del 2020 son de los 10 principales tipos de ransomware.

.

Tendencias en la Comercialización del Ransomware

Los presentadores de Mandiant/FireEye en el evento virtual de BlackHat Europe celebrado en diciembre del 2020 discutieron las mejoras y los cambios en el comercio de ransomware que observaron en el 2020.

  • Más cautela, menos ruido: los ataques de ransomware son rápidos, pero ruidosos
  • Mejora de las herramientas: menos dependencia de las herramientas estándar de pruebas de penetración y uso de más malware a medida
  • Tiempo más rápido para obtener las credenciales de administrador del dominio
  • Mejora de los métodos de despliegue del ransomware
  • Mayor eficacia para eliminar las copias de seguridad

Acciones de Mitigación Recomendadas

Incluso el ataque más sencillo puede hacer que una organización pierda mucho tiempo y dinero. Los ataques sofisticados, y los ataques combinados de extorsión y encriptación, pueden causar un golpe demoledor o destruir por completo una empresa. Las recomendaciones generales para minimizar los daños de un ataque de ransomware incluyen:

  • Establecer y mantener copias de seguridad fuera de línea, y probarlas regularmente para garantizar que los sistemas puedan reconstruirse con éxito.
  • Formación de los empleados sobre estrategias de ingeniería social y phishing.
  • Establecer una estrategia para evitar el robo no autorizado de datos, especialmente cuando se almacenan o suben grandes cantidades de datos a plataformas en la nube.
  • Establezca un análisis del comportamiento de los usuarios para supervisar e identificar posibles incidentes de seguridad.
  • Utilizar la autenticación multifactorial (MFA) en todos los puntos de acceso remoto.
  • Implantar pruebas de penetración regulares o continuas para identificar los puntos débiles, las credenciales débiles y las vulnerabilidades explotadas con frecuencia.
  • Despliegue tecnologías de borde de servicio de acceso seguro (SASE) para bloquear el perímetro blando (SDP) alrededor de los activos en la nube, la DIA en las oficinas y el acceso de los empleados a la WFA.
  • Acciones específicas para mitigar las vulnerabilidades de la pila de protocolos TCP/IP (tanto para los activos normales de la empresa como para el IoT): desactivar el IPv6 cuando/donde no sea necesario; confiar en los servidores DNS internos para los dispositivos críticos; supervisar su red para detectar paquetes y comportamientos anómalos; segmentar su red para evitar el movimiento lateral del malware.
  • Desconfíe de los servicios expuestos públicamente, como el Escritorio Remoto (RDP, puerto 3389), la VPN, la Computación de Red Virtual (VNC), el FTP y el Bloqueo de Mensajes del Servidor (puerto 445).
  • No instales software ni le des privilegios de administrador a menos que sepas exactamente lo que hace.
  • Asegúrate de que todos los sistemas operativos tienen parches actualizados e instala software antivirus en todas partes.

Técnicas y Fases Más Comunes

La mayoría de los ataques de ransomware utilizan un pequeño número de vectores de infección comunes.

Phishing: Adjuntos de correo electrónico maliciosos, también denominados “malspam”.

Protocolo de Escritorio Remoto (RDP): Intrusión en la red a través de puertos y servicios no seguros.

Vulnerabilidades de Software y de Red: Gusanos y otras formas de ransomware que aprovechan las vulnerabilidades de la red.

Malware Doble: Malware adicional introducido a través de infecciones de malware anteriores (por ejemplo, una infección de TrickBot que lleva a una infección posterior de Ryuk).

Un Informe de Coveware del Tercer Trimestre del 2020 ofrece detalles sobre los vectores de infección de los diferentes tipos de ransomware.

Las tácticas y técnicas habituales utilizadas por los autores y operadores de ransomware se dividen en varias categorías.

Oportunista: El modelo operativo de los actores oportunistas es el ransomware autopropagado, como WannaCry. Los actores de la amenaza inician el malware—a menudo utilizando puntos de entrada de fácil acceso como kits de exploits, puertas traseras, puertos abiertos, VPNs inseguras, sistemas operativos y aplicaciones que carecen de parches—pero después depende de las acciones de los usuarios para propagarlo y los actores de la amenaza no saben a dónde va, a dónde se va a mover, qué organización objetivo puede ser víctima, o a qué dominios o redes puede acceder.

A veces denominados “spray-and-pray”, se trata de ataques de gran volumen y menos sofisticados, y es un método operativo que ha disminuido recientemente.

Dirigida: Se trata de una técnica estratégica de menor volumen, más sofisticada, que da lugar a pagos medios más elevados. Los actores de la amenaza utilizan una campaña específica para dirigirse a una organización concreta. Consiguen acceder a la red a través de correos electrónicos de phishing, ingeniería social, vulnerabilidades del sistema operativo o de puertos abiertos, y luego buscan en la red antes de desatar sus demandas de rescate. Hay dos modos de funcionamiento en esta técnica “dirigida”:

  • Modelo de afiliación: Los “autores de amenazas” profesionales crean el ransomware y luego proporcionan a los afiliados (mediante suscripción o porcentaje del rescate) una plataforma en la que pueden acceder a herramientas e instrucciones para ejecutar los ataques. Este modelo ofrece una baja barrera de entrada para ataques muy sofisticados
    • Otro modo de operar en este modelo es cuando los “autores de la amenaza” crean el ransomware y también perpetran el compromiso inicial de la organización objetivo, y luego venden el acceso a los afiliados para ejecutar el ataque.
    • Modelo Autogestionado: En este modo de operación los actores de la amenaza ejecutan la fase inicial de compromiso por sí mismos, obtienen acceso al sistema y al entorno, y luego se desplazan antes de ejecutar las demandas de rescate

    Proteja sus Activos Contra el Ransomware con RidgeBot® 3.2

     

    RidgeBot® descubre automáticamente sus activos, los escanea y procede a explotar las vulnerabilidades encontradas, tal como lo haría un hacker. En su informe, le avisa de las vulnerabilidades peligrosas explotadas con éxito y también le muestra la ruta de ataque exacta que permitió que el activo se viera comprometido. Con esta información detallada y precisa puede cerrar rápida y proactivamente todas las vulnerabilidades de su red y otros activos.

    Protección Contra Ransomware de RidgeBot® 3.2

    La versión 3.2 incluye una nueva plantilla centrada específicamente en la lucha contra los ataques de ransomware. Inicialmente esta plantilla incluye:

    • Escaneo de 60 vulnerabilidades en puntos de entrada de ransomware de alto perfil
    • La capacidad de lanzar ataques para explotar estas vulnerabilidades
    • Informes detallados sobre la forma exacta en que se lograron las explotaciones exitosas

    Con el tiempo se añadirán definiciones de más ataques de ransomware, y usted puede añadirlas a su plan de seguridad descargando las actualizaciones periódicas de RidgeBot®.

    La ejecución de la plantilla de ransomware RidgeBot® 3.2 le permite lanzar rápida y fácilmente un escaneo de activos para detectar las vulnerabilidades relacionadas con el ransomware que puedan estar presentes en sus activos. Como parte integral del escaneo, RidgeBot® también lanza ataques para probar que las vulnerabilidades encontradas son realmente explotables en su entorno actual. Puede ejecutar estas pruebas de penetración y ataques bajo demanda o en un horario regular.

    Al igual que con otras herramientas y pruebas de vulnerabilidad, se recomienda volver a ejecutar un escaneo y explotación de plantillas de ransomware cada vez que se produzca algún cambio en sus activos, como la adición de un nuevo servidor o dispositivo de red, la actualización de software de un dispositivo, la instalación de un parche en un dispositivo, el cambio de secuencias de comandos o información en un servidor web, o cualquier otro cambio de software o hardware que pueda resultar en el despliegue de una nueva vulnerabilidad en su red. Debe estar especialmente atento a los dispositivos IoT que puedan conectarse o insertarse en su red.

    Enfoque de RidgeBot® 3.2

    La plantilla del ransomware RidgeBot® 3.2 incluye la exploración y explotación de las siguientes clases de vulnerabilidades:

    • Ejecución Remota de Código/Comando (RCE)
    • Relleno de contraseñas y credenciales débiles (por ejemplo, SSH, Redis y SQL Server)
    • Bloqueo de Mensajes del Servidor (SMB)
    • WebLogic y Otras Cargas de Archivos

    Alcance de RidgeBot® 3.2

    El escaneo y la explotación de RidgeBot® cubre las vulnerabilidades técnicas como credenciales débiles, puertos abiertos, cargas de archivos, vulnerabilidades de aplicaciones web de WebLogic y Struts2. Sin embargo, esta herramienta no puede protegerle contra la ingeniería con fines sociales o el phishing, ni con los datos que ya han sido cifrados por un ataque de ransomware. En su lugar, utilice RidgeBot® para localizar las vulnerabilidades de su red y evitar la intrusión de ransomware.

    Si considera que su organización es un “objetivo” posible o probable para los actores de amenazas, utilice las capacidades de exploración y explotación de RidgeBot® 3.2 para protegerse contra la etapa inicial de compromiso de un ataque planificado. Una vez que un actor de la amenaza ha entrado en su red y ha establecido un punto de apoyo, necesitará herramientas adicionales para detectar y corregir la intrusión.

    ¿Cómo combatir los ataques de ransomware de alto perfil con RidgeBot®?

    RidgeBot® desarrolla una estructura de red de los activos descubiertos y muestra una lista de objetivos (cuadros rojos en el gráfico), y de exploits y vulnerabilidades (listados en la parte derecha de la pantalla), que fueron penetrados con éxito. Al resaltar cualquiera de estas penetraciones se revela la ruta de ataque exacta que siguió RidgeBot® para comprometer ese objetivo. Esto le proporciona información clara y precisa sobre qué dispositivos de su entorno requieren qué tipos de correcciones o actualizaciones para estar debidamente protegidos contra los ataques de ransomware.

    Las secciones siguientes proporcionan detalles y ejemplos de una serie de vulnerabilidades de alto perfil y fácilmente explotables que pueden existir en su entorno. RidgeBot® 3.2 puede protegerle contra estas vulnerabilidades y otras más.

    La agencia gubernamental estadounidense National Institute of Standards and Technology (NIST) mantiene una base de datos nacional de vulnerabilidades (NVD) en la que se pueden buscar detalles adicionales de todas las vulnerabilidades con números CVE asignados.

    Ejecución Remota de Código/Comando: EternalBlue

    Los ataques masivos de ransomware a nivel mundial registrados en el 2017 fueron noticia en todo el mundo, paralizaron empresas durante varios días y costaron a varias organizaciones multinacionales millones de dólares en daños, reparaciones y recuperación. El ransomware WannaCry, que golpeó en mayo de 2017, utilizó la vulnerabilidad EternalBlue para explotar ordenadores Windows sin parches. A este le siguió, en Junio de 2017, el ataque del ransomware NotPetya, que explotó la misma vulnerabilidad.

    En Marzo de 2017, Microsoft emitió el boletín de seguridad MS17-010 en el que se detallaba el fallo de seguridad EternalBlue y anunció parches para Windows para todas las versiones compatibles activas en ese momento, incluyendo Windows Vista, Windows 7, 8.1 y 10, Windows Server 2008, 2012 y 2016. EternalBlue también está cubierto por CVE-2017-0143 a CVE-2017-0148.

    EternalBlue es un exploit que permite a los actores de amenazas obtener acceso a un activo de Windows, controlar el shell y ejecutar remotamente código arbitrario mediante el envío de paquetes especialmente diseñados a un servidor que utiliza Microsoft Server Message Block 1.0 (SMBv1). SMB es un protocolo de compartición de archivos en red que permite acceder a los archivos de un servidor remoto.

    Esta vulnerabilidad permite a los actores de la amenaza inyectar malware que luego se autopropaga para infectar toda la red y todos los dispositivos conectados a ella, dejando caer la carga útil del cripto-ransomware por todas partes a medida que se propaga. La capacidad de autopropagación ha convertido a EternalBlue en un exploit popular para otros programas maliciosos como Trickbot (un troyano bancario modular), así como CoinMiner y WannaMine, en los que los mineros de criptomonedas explotan EternalBlue para obtener acceso a recursos informáticos para minar criptomonedas.

    A pesar de que la vulnerabilidad EternalBlue—y los parches de Windows para contrarrestarla—que ya se anunciaron hace años, en marzo del 2017, todavía hay suficientes máquinas sin parchear por lo que a principios del 2021 este exploit resulta muy atractivo para los atacantes.

    RidgeBot® 3.2 puede escanear la red, los dispositivos y los servidores para detectar cualquier vulnerabilidad latente de EternalBlue no parcheada en su entorno. RidgeBot® lanza además un ataque contra el dispositivo objetivo explotando la vulnerabilidad EternalBlue encontrada. En el ejemplo de ataque de Ridgebot® contra la IP 192.168.105.111 que se muestra a continuación, se logró penetrar una vulnerabilidad EternalBlue (recuadro rojo en el borde exterior).

    Al profundizar en la ruta de explotación (cuadros verdes) hasta la máquina objetivo comprometida (cuadro rojo), se revela la ruta de ataque que el actor de la amenaza explotó para llegar al objetivo.

    Para los exploits de EternalBlue, RidgeBot® puede controlar el shell del host del dispositivo comprometido.. Un exploit RidgeBot® exitoso de una vulnerabilidad EternalBlue se da en la Tabla de Riesgos, mostrando que el objetivo del host fue ingresado y que RidgeBot® pudo emitir comandos desde el shell.

    Ejecución Remota de Código/Comando: Struts2

    Apache Struts2 es un marco de trabajo de aplicaciones web (Modelo-Vista-Controlador, o MVC) gratuito y de código abierto para desarrollar aplicaciones web Java multiplataforma. Tiene una arquitectura extensible que utiliza la API de Java Servlet y plugins REST, AJAX y JSON para permitir un fácil desarrollo de software.

    Existe una serie de vulnerabilidades de ejecución de código remoto en el código y los plugins de Struts2, incluyendo los boletines de seguridad de Apache S2-008 (CVE-2012-0391), S2-016, S2-019 (CVE-2013-4316), S2-032, S2-037, S2-045, S2-048, S2-052, S2-057 y S2-059. Puede revisar los detalles de todos los boletines de seguridad de Apache Struts2 aquí.

    RidgeBot® 3.2 puede escanear su red, dispositivos y servidores para detectar cualquiera de las vulnerabilidades de Struts2 mencionadas anteriormente en su entorno. Además, RidgeBot® lanza un ataque contra el dispositivo objetivo explotando la vulnerabilidad Struts2 encontrada. En el ejemplo de ataque de RidgeBot® contra la IP 192.168.105.110 que se muestra a continuación, se logró penetrar una vulnerabilidad de Struts2 (cuadro rojo en el borde exterior).

    Al profundizar en la ruta de explotación (cuadros verdes) hasta la máquina objetivo comprometida (cuadro rojo), se revela la ruta de ataque que el actor de la amenaza explotó para llegar al objetivo.

    Para los exploits de Struts2, RidgeBot® puede recolectar el directorio de archivos del host objetivo. Un exploit RidgeBot® exitoso de una vulnerabilidad Struts2 se da en la Tabla de Riesgos, mostrando que el host objetivo fue ingresado y su directorio de archivos es visible para RidgeBot®.

    Ataques de Divulgación de Credenciales/Contraseñas Débiles

    Existen numerosas vulnerabilidades conocidas relacionadas con las contraseñas débiles, o la divulgación de credenciales, en el negocio, incluyendo las asociadas a SSH, Redis, SQL Server, SMB y Microsoft Remote Desktop Server. Algunos de los exploits están relacionados con la divulgación de credenciales, otros con RCE abriendo oportunidades “gusano” donde el malware puede propagarse de un ordenador vulnerable a otro, de manera similar a como se propagó el ransomware WannaCry.

    RidgeBot® 3.2 puede escanear su red, dispositivos y servidores para detectar una sección transversal de vulnerabilidades de contraseñas débiles en su entorno. Además, RidgeBot® lanza un ataque contra el dispositivo objetivo explotando la vulnerabilidad de la contraseña débil encontrada. En el ejemplo de ataque de RidgeBot® contra la IP 192.168.105.110 que se muestra a continuación, se logró penetrar una vulnerabilidad de contraseña débil de Redis (cuadro rojo en el borde exterior).

    Al profundizar en la ruta de explotación (cuadros verdes) hasta la máquina objetivo comprometida (cuadro rojo), se revela la ruta de ataque que el actor de la amenaza explotó para llegar al objetivo.

    En un ejemplo de escaneo y ataque de Ridgebot contra la IP 192.168.105.110 que se muestra a continuación, se penetró una vulnerabilidad de contraseña débil SSH (cuadro rojo en el borde exterior).

    En un ejemplo de escaneo y ataque de RidgeBot contra la IP 192.168.105.110 que se muestra a continuación, se penetró una vulnerabilidad de contraseña débil SSH (cuadro rojo en el borde exterior).

    Al profundizar en la ruta de explotación (cuadros verdes) hasta la máquina objetivo comprometida (cuadro rojo), se revela la ruta de ataque que el actor de la amenaza explotó para llegar al objetivo.

    WebLogic y Otros Ataques de Carga de Archivos

    Las vulnerabilidades de carga de archivos utilizan archivos para insertar código malicioso que desencadena RCE en la plataforma de destino.

    Vulnerabilidad de Carga de Achivos Locales: Una aplicación permite a un actor de la amenaza cargar directamente un archivo malicioso, que posteriormente se ejecuta.

    Vulnerabilidad de Carga de Archivos Remotos: Una aplicación aprovecha la acción del usuario para obtener un archivo de un sitio remoto en Internet y almacenarlo localmente para ser ejecutado en un momento posterior.

    RidgeBot® 3.2 puede escanear su red, dispositivos y sus servidores para detectar las siguientes vulnerabilidades de carga de archivos en su entorno.

    • Apache Tomcat PUT Método de Escritura de Archivos (CVE-2017-12615)
    • WebLogic Service Test Configuration Page Tiene una Carga de Archivos Arbitraria (CVE-2018-2894)
    • WebLogic XML Decoder Deserialización (CVE-2017-10271)
    • Apache ActiveMQ Escritura Arbitraria de Archivos (CVE-2016-3088)

    Implemente la Demostración de RidgeBot® 3.2 de Ridge Security

    Una vez que un operador de amenazas se ha infiltrado en su red y ha progresado hasta establecer un punto de apoyo dentro de sus activos, suele ser demasiado tarde para detener el daño. Por lo tanto, es imprescindible evitar que los agresores pongan en peligro sus activos, impidiéndoles que encuentren cualquier abertura por la que puedan entrar en su red y en sus activos.

    RidgeBot® 3.2 contiene capacidades críticas de exploración y explotación desarrolladas específicamente para combatir las vulnerabilidades que conducen a los ataques de ransomware dirigidos. Póngase en contacto con nosotros hoy mismo para obtener una demostración de cómo RidgeBot puede ayudar a su organización a sobrevivir en estos tiempos peligrosos.