Hay otro grupo de malhechores por ahí secuestrando dispositivos Ivanti inseguros: una nueva pandilla con motivación financiera llamada Magnet Goblin ha surgido de las oscuras profundidades digitales con una habilidad especial para explotar rápidamente vulnerabilidades recientemente reveladas antes de que los proveedores hayan publicado una solución. El equipo de cibercrimen se ha dirigido a organizaciones del sector médico, manufacturero y energético de EE. UU., según Check Point, que dijo que detectó a Magnet Goblin abusando de los agujeros de seguridad en el código de Ivanti para ingresar a las redes en enero, solo un día después de una prueba de concepto. , o PoC, se hizo público. Específicamente, los delincuentes parecen haber atacado servidores vulnerables de Ivanti Connect Secure VPN, comprometiendo ese equipo y utilizando esos puntos de apoyo para implementar puertas traseras en los entornos de TI de las víctimas. Asegúrese de tener parches o mitigaciones implementadas y de haber verificado si hay indicios de compromiso, si está utilizando equipo Ivanti para proteger sus cosas. «Pudimos confirmar menos de 10 organizaciones en los EE. UU., pero asumimos que el número real es mucho mayor», dijo a The Register Sergey Shykevich, gerente de inteligencia de amenazas de Check Point Research, refiriéndose a las víctimas de Magnet Goblin. «Creemos que se trata de un grupo de cibercrimen oportunista al que actualmente no podemos afiliar a una ubicación geográfica específica o a un grupo conocido», añadió Shykevich. «Este grupo pudo utilizar el exploit Ivanti extremadamente rápido, solo un día después de que se publicara una prueba de concepto». El viernes, el equipo de Shykevich compartió su investigación sobre Magnet Goblin. Se nos dice que la banda cibernética implementó malware de control remoto y robo de datos después de irrumpir en organizaciones a través de agujeros de Ivanti, malware que se envió a VirusTotal ya en enero de 2022 y también se utilizó en ataques contra Adobe Magento 2 ese mismo año. Este software malicioso incluía MiniNerbian, una puerta trasera de Linux utilizada en esos ataques de Magento 2, así como una versión Linux más nueva y novedosa de NerbianRAT y un ladrón de credenciales de JavaScript llamado WARPWIRE. El equipo también utiliza herramientas legítimas de gestión y monitoreo remoto, como ScreenConnect y AnyDesk, una vez dentro de los entornos de TI de las víctimas, lo que hace que sus actividades ilícitas sean un poco más difíciles de detectar. «Magnet Goblin se distingue por su rápida adopción de vulnerabilidades recientemente reveladas, especialmente dirigidas a plataformas como Ivanti Connect Secure VPN, Magento, Qlik Sense y posiblemente Apache ActiveMQ», según el informe. Los delincuentes se mueven rápidamente, según el departamento de seguridad, explotando estas llamadas «vulnerabilidades de un día» en dispositivos periféricos y servicios públicos poco después de que se hayan hecho públicas las vulnerabilidades de prueba de concepto, pero antes de que los proveedores hayan lanzado parches para cerrar de golpe los agujeros de seguridad. Esta estrategia «significa una profunda amenaza para las infraestructuras digitales en todo el mundo», señaló el equipo de seguridad de la información. Check Point dijo que detectó por primera vez a la banda criminal mientras rastreaba las vulnerabilidades de Ivanti Connect Secure. Si bien la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) del gobierno de EE. UU., junto con los analistas de seguridad del sector privado de Mandiant y Volexity inicialmente vincularon estos ataques con equipos patrocinados por el gobierno chino, incluido Volt Typhoon respaldado por Beijing, pronto saltaron a la palestra todo tipo de ciberdelincuentes. . Y a pesar del rápido cambio, desde que se revelaron los errores en los dispositivos Ivanti hasta que Magnet Goblin comenzó a explotarlos, Shykevich dijo que su equipo de inteligencia de amenazas no puede conectar definitivamente a esta pandilla con una región específica o un grupo criminal existente. Sin embargo, Check Point vinculó la infraestructura de Magnet Goblin con los exploits de Qlink Sense reportados a finales de noviembre y principios de diciembre. Después de utilizar los errores de Qlink Sense para obtener acceso inicial, los investigadores de seguridad de Arctic Wolf dijeron que al menos algunos de los malhechores infectaron a las víctimas con el ransomware Cactus. ®

Source link