Ransomware parche

Número kb del parche de Wannacry

Con el estallido de WannaCry, mantener el nivel de parches de las máquinas al día se ha convertido en una misión principal para todos los técnicos de TI y una prioridad máxima para cualquier organización de TI. vScope permite básicamente a cualquier persona, sin el uso de ninguna secuencia de comandos, navegar fácilmente y revisar el estado de los parches en cada máquina descubierta. Esta es una gran característica en estos casos en los que queremos encontrar rápidamente la información de los parches de toda la TI.

La información sobre parches se muestra en varias vistas en vScope. Ahora, en este caso, Microsoft ha proporcionado una lista bastante completa de todas las KB que nos aseguran que MS17-010 está instalado (AVISO: esta lista es actualizada continuamente por Microsoft debido a la sustitución de parches. Por favor, asegúrese de tener una lista válida y actualizada de KB:s antes de buscar estos parches en vScope):

Ahora vScope listará todas las máquinas (tanto servidores como clientes) y la información relativa a los parches en estas máquinas específicas. Ahora podemos filtrar utilizando la búsqueda de texto libre en la esquina superior izquierda, o podemos hacer uso del panel de filtro mucho más potente a la derecha. En esta imagen de abajo voy a listar todas las máquinas que NO tienen “KB40122112” y “KB4012215” instalados (si se hace clic dos veces en un filtro se cambiará a un filtro NO)

Escáner de ransomware

La irrupción de los dispositivos digitales, en la última década, no sólo ha contribuido a un inmenso desarrollo, sino que también ha engendrado ciberdelitos. La forma más popular de ciberextorsión es el ransomware. Echemos un vistazo a los devastadores ataques de ransomware que el mundo ha visto hasta la fecha después de una rápida visión de la definición, los tipos y el flujo de trabajo de un ransomware

El ransomware es un software malicioso que cifra los datos del usuario o de la organización o bloquea a los usuarios de sus dispositivos y pide un rescate a cambio de la clave de descifrado o para devolver el acceso al dispositivo. El rescate se suele pedir en forma de criptomoneda.

Este tipo de ransomware suele cifrar datos o archivos. El usuario no podrá acceder a ninguno de sus archivos, a menos que obtenga la clave de descifrado tras pagar el rescate exigido por el hacker. Estos son probablemente los peores tipos de ransomware ya que el hacker tiene toda su información y archivos sensibles y no hay garantía de que el pago del rescate le devuelva los datos que han sido robados.

El ransomware de Kaspersky

“Las organizaciones que no tomen las medidas adecuadas para mitigar estas vulnerabilidades en sus productos SRA y SMA 100 series corren el riesgo inminente de sufrir un ataque de ransomware dirigido”, subraya la compañía.

FireEye Mandiant informó en abril de que una banda de ciberamenazas explotó una vulnerabilidad de día cero ya parcheada en el dispositivo SonicWall SMA 100 Series para plantar ransomware durante los ataques lanzados a principios de este año.

El grupo, al que FireEye llama UNC2447, explotó la CVE-2021-20016 para instalar la puerta trasera Sombrat y luego una nueva variante de ransomware que los investigadores apodaron “Fivehands”. La banda encriptó y exfiltró datos, exigiendo un rescate a cambio de un desencriptador y de abstenerse de exponer o vender los datos, informó FireEye.

SonicWall advierte a las organizaciones que utilizan los dispositivos SRA 4600/1600 (EOL 2019), SRA 4200/1200 (EOL 2016), SSL-VPN 200/2000/400 (EOL 2013/2014), SMA 400/200 y SMA 210/410/500v que ejecutan el firmware 8.x para que actualicen su firmware o desconecten sus dispositivos según las directrices de la compañía.

Recuperación del ransomware

El aviso, al que la compañía ha llamado VMSA-2021-0020, comprende 19 vulnerabilidades de seguridad individuales, incluida una que permite potencialmente a los actores maliciosos “ejecutar comandos y software” en el software de gestión del servidor vCenter utilizando una vulnerabilidad de carga de archivos.

El fallo más grave permite potencialmente realizar ataques de “clic cero” relativamente sencillos, que pueden tener éxito sin que el usuario haga nada. También hay una serie de fallos potencialmente útiles para un atacante que ya tenga acceso a una red.

“Uno de los mayores problemas a los que se enfrenta el departamento de TI hoy en día es que los atacantes a menudo comprometen un escritorio y/o una cuenta de usuario en la red corporativa, y luego lo utilizan paciente y silenciosamente para entrar en otros sistemas durante largos períodos de tiempo”, dijo VMware en un blog.

“En esta era del ransomware es más seguro asumir que un atacante ya está dentro de su red en algún lugar, en un escritorio y tal vez incluso en el control de una cuenta de usuario, por lo que recomendamos encarecidamente declarar un cambio de emergencia y parchear tan pronto como sea posible.”