Winnti continúa apuntando en la industria de los videojuegos

El Gupo Winnti continúa apuntando a la industria de los videojuegos con nuevo backdoor

ESET descubre nuevo backdoor modular, denominado PipeMon, utilizado por el Grupo Winnti en ataques a compañías desarrolladoras de videojuegos MMO.

En febrero de 2020, descubrimos un nuevo backdoor modular al que llamamos PipeMon. Persistiendo como un procesador de impresión, este backdoor fue utilizado por el Grupo Winnti contra varias compañías que desarrollan videojuegos multijugador online masivos (MMO, por sus siglas en inglés) con sede en Corea del Sur y Taiwán. Los videojuegos desarrollados por estas compañías están disponibles en populares plataformas que cuentan con la participación de miles de jugadores de manera simultánea.

En al menos una oportunidad, los operadores de este malware lograron comprometer un sistema de compilación (build system) de una de sus víctimas, lo que podría haber llevado a un ataque de cadena de suministro al permitir a los atacantes troyanizar los ejecutables del juego. En otro caso, los servidores del videojuego fueron comprometidos, lo que podría haber permitido a los atacantes, por ejemplo, manipular las divisas del propio juego para obtener ganancias financieras.

El Grupo Winnti, activo desde al menos 2012, es responsable de llevar adelante ataques de cadena de suministro de alto perfil contra la industria del software, lo que llevó a la distribución distintos software troyanizados (como CCleaner , ASUS LiveUpdate, así como múltiples videojuegos) que luego eran utilizados para comprometer a más víctimas. Recientemente, investigadores de ESET también descubrieron una campaña del Grupo Winnti dirigida a varias universidades de Hong Kong en la que utilizaron los malware ShadowPad y Winnti.

Sobre el nombre del “Grupo Winnti”:

Hemos elegido mantener el nombre “Grupo Winnti”, ya que es el nombre que se utilizó por primera vez para identificar a este grupo por Kaspersky, en el año 2013. Como Winnti también es una familia de malware, siempre escribimos “Grupo Winnti” cuando nos referimos a los cibercriminales detrás de los ataques. Asimismo, desde 2013 se demostró que Winnti es solo una de las muchas familias de malware utilizadas por el Grupo Winnti.

Atribución al Grupo Winnti

Múltiples indicadores nos llevaron a atribuir esta campaña al Grupo Winnti. Algunos de los dominios de C&C utilizados por PipeMon fueron utilizados por el malware Winnti en campañas anteriores que fueron mencionadas en nuestro artículo sobre el arsenal utilizado por el Grupo Winnti. Asimismo, el malware Winnti también se descubrió en 2019 en algunas de las compañías que luego fueron comprometidas con PipeMon.

Además del malware Winnti, descubrims que para esta campaña se utilizó un binario personalizado de AceHash (un recopilador de credenciales) que encontramos en otras víctimas de Winnti y que estaba firmado con un conocido certificado robado que anteriormente había sido utilizado por el grupo (Wemade IO).

El certificado utilizado para firmar el instalador, los módulos y las herramientas adicionales de PipeMon está vinculado a una compañía de videojuegos que se vio comprometida en un ataque de cadena de suministro a fines de 2018 por el Grupo Winnti, y probablemente fue robado en ese momento.

Curiosamente, los módulos de PipeMon se instalan en %SYSTEM32%\spool\prtprocs\x64\; esta ruta también fue utilizada en el pasado para droppear la segunda etapa del CCleaner troyanizado.

Además, comprometer un entorno de compilación para desarrolladores de software para posteriormente comprometer una aplicación legítima es un accionar conocido por el Grupo Winnti.

Compañías apuntadas en esta campaña

Las compañías apuntadas en esta campaña son desarrolladores de videojuegos MMO que tienen su sede en Corea del Sur y Taiwán. En al menos un caso, los atacantes pudieron comprometer el servidor de compilación orquestado de la compañía, permitiéndoles tomar el control de los sistemas de compilación automatizados. Esto podría haber permitido a los atacantes incluir código de manera arbitraria en los ejecutables de los videojuegos.

ESET contactó a las empresas afectadas y proporcionó la información necesaria para remediar el compromiso.

Conclusión

Una vez más, el Grupo Winnti dirige sus ataques a desarrolladores de videojuegos en Asia. Esta vez con una nuevo backdoor modular firmado con un certificado de firma de código probablemente robado durante una campaña anterior y que comparte algunas similitudes con el backdoor PortReuse. Este nuevo implante muestra que el Grupo Winnti todavía está desarrollando activamente nuevas herramientas utilizando para ello múltiples proyectos de código abierto; lo que demuestra que no confían únicamente en sus backdoors insignia, como  ShadowPad o el malware Winnti.

Para conocer el análisis técnico de esta campaña pueden visitar el artículo en inglés de esta invesigación.

Tomado de Welivesecurity

Productos Seguridad informática

ANTIVIRUS ESET Endpoint Protection Advanced

Además de las características de seguridad que incorpora ESET Endpoint Protection Standard, la versión avanzada cuenta con un potente control web, cortafuegos personal y filtro antispam

Noticias Seguridad informática

El IoT (Internet de las cosas) y la vulnerabilidad de los dispositivos inteligentes

El IoT ha venido para quedarse y seguirá creciendo en el futuro, pero es importante tener en cuenta que nuestra…

Líderes mundiales hacen un llamado para detener los ciberataques al sector de la salud

ciberataques

Más de 40 líderes mundiales llaman a los gobiernos a tomar medidas para detener los ciberataques a instituciones vinculadas con el sector de la salud en el contexto actual por la pandemia del COVID-19.

Una carta abierta firmada por más de 40 líderes internacionales de distintas partes del mundo exhorta a los gobiernos a trabajar de manera conjunta para detener los ciberataques dirigidos a hospitales, centros de atención médica y de investigación, así como a autoridades internacionales que brindan atención y orientación en el marco de la pandemia por el COVID-19.

“Durante las últimas semanas hemos sido testigos de ataques dirigidos a instalaciones médicas, así como a organizaciones que trabajan en la primera línea de batalla para combatir la pandemia del COVID-19. Estas acciones han puesto bajo amenaza las vidas humanas al afectar la capacidad de funcionamiento de estas instituciones críticas, provocando una disminución en la distribución de suministros médicos e información, así como alterando el cuidado a los pacientes.”, explica un pasaje de la carta.

Publicada por el CyberPeace Institute, una organización internacional que busca promover la estabilidad en el ciberespacio, la carta incluye la firma de más de 40 líderes pertenecientes a gobiernos, industrias, organizaciones gubernamentales y académicos de todo el mundo, entre ellos siete ganadores de los Premios Nobel.

En el contexto actual de pandemia, en el que se ha registrado un incremento de ciberataques al sector de la salud, el mensaje tiene como objetivo poner sobre la mesa la necesidad -y la urgencia- de tomar medidas y que los gobiernos, junto con el sector privado y la sociedad civil a nivel internacional, trabajen conjuntamente para llevar adelante acciones que contribuyan a proteger y asegurar a las distintas organizaciones e instituciones que conforman este sector, como son hospitales, institutos de investigación, organizaciones públicas internacionales de la salud, entre otras.

Tal como explicamos en un artículo reciente acerca de por qué los hospitales son un blanco atractivo para los cibercriminales, desde comienzos de año y a medida que el nuevo coronavirus iba extendiéndose a distintos países del mundo, en países como República Checa, España, Francia o Estados Unidos se han registrado ataques dirigidos a hospitales, centros de investigación y otros organismos que conforman el sector de la salud. Estos acontecimientos han evidenciado no solo el oportunismo de los cibercriminales, sino también algo que no es una novedad para muchos, y es lo vulnerable que es este sector a los ataques informáticos y lo importante que es tomar medidas para prevenir este tipo de incidentes en un momento en el que tanto se requiere de los cuidados médicos.

Según dijo Peter Maurer, presidente del Comité Internacional de la Cruz Roja, organización que forma parte de esta acción, “estamos viviendo la crisis sanitaria más urgente de la historia moderna, y estos ataques amenazan a toda la humanidad”.

Tomado de Welivesecurity

Productos Seguridad informática

ANTIVIRUS ESET Endpoint Protection Advanced

Además de las características de seguridad que incorpora ESET Endpoint Protection Standard, la versión avanzada cuenta con un potente control web, cortafuegos personal y filtro antispam

Noticias Seguridad informática

El IoT (Internet de las cosas) y la vulnerabilidad de los dispositivos inteligentes

El IoT ha venido para quedarse y seguirá creciendo en el futuro, pero es importante tener en cuenta que nuestra…

Android, Vulnerabilidad crítica en permite reemplazar apps legítimas por maliciosas

Vulnerabilidad crítica en Android permite reemplazar apps legítimas por maliciosas

Llamada StrandHogg 2.0, la vulnerabilidad afecta a todos los dispositivos Android que utilicen la versión 9.0 o anteriores del sistema operativo. Google lanzó un parche que mitiga la vulnerabilidad.

Una vulnerabilidad crítica en Android, apodada StrandHogg 2.0, fue recientemente descubierta y permitiría que apps maliciosas se hagan pasar por legítimas para robar información sensible de los usuarios al solicitar el ingreso de credenciales de acceso u otro tipo de información.

Se trata de una vulnerabilidad (CVE-2020-0096) de escalación de privilegios que afecta a todos los dispositivos que corran la versión 9.0 de Android (o anteriores) y puede ser explotada por un atacante sin necesidad de obtener acceso root. En este sentido, en caso de explotación un atacante podría llevar adelante varias acciones maliciosas en el equipo de la víctima, como escuchar a través del micrófono del equipo comprometido, tomar fotografías a través de la cámara, leer y enviar mensajes SMS, realizar llamadas telefónicas y/o grabar las conversaciones, robar credenciales, acceder a los archivos almacenados en el dispositivo, obtener información de la ubicación, acceder a la lista de contactos, así como las claves de acceso al teléfono.

Android, Vulnerabilidad permite reemplazar apps legítimas

El hallazgo de esta vulnerabilidad fue realizado por la compañía Promon, quien también había descubierto en 2019 la versión 1.0 de este fallo -aún sin parchear- que presenta características similares y que había sido explotado de manera activa por el troyano bancario BankBot.

En el caso de la primera versión de StrandHogg, la vulnerabilidad hacía uso de la funcionalidad taskAffinity para tomar el control de una aplicación a la vez en el equipo de la víctima y reemplazar la app legítima por una versión falsa. En el caso de StrandHogg 2.0, el fallo no se aprovecha de la misma función y permitiría a un código malicioso que que explote la vulnerabilidad ser capaz de interceptar de manera dinámica la actividad que realiza el usuario al presionar el ícono de cualquier aplicación para tomar control de esta acción y así lograr desplegar una falsa versión de prácticamente cualquier app en el dispositivo de la víctima.

Android

Asimismo, según explicaron los investigadores, un código malicioso que se aproveche de este fallo será difícil de detectar por una solución de seguridad, por lo que representa una amenaza importante para el usuario final. A esto se suma que cerca del 90% de los usuarios de Android corren la versión 9.0 o anteriores en sus dispositivos, lo cual quiere decir que existen muchos equipos que, de no tener instalado el parche correspondiente, estarán expuestos a esta vulnerabilidad.

En cuanto al parche que mitiga este fallo, luego de ser reportada la vulnerabilidad a Google en diciembre de 2019, la compañía comunicó a principios de mayo que comenzó a lanzar un parche que corrige el problema.

Android, Vulnerabilidad permite reemplazar apps legítimas

Si bien puede resultar difícil de detectar este tipo de ataque, algunos comportamientos sospechosos que podrían alertar al usuario final pueden ser, por ejemplo, que una app en la cual ya ha iniciado sesión vuelva a requerir el ingreso de las credenciales de acceso, que aparezcan ventanas emergentes que no contengan el nombre de la app, solicitud de permisos innecesarios dadas las características de la aplicación que está abriendo, que aparezcan botones o enlaces en la interfaz de la app que no realizan ninguna acción una vez que son presionados, o que el botón para volver para atrás no realice esta acción.

Tomado de Welivesecurity

Productos Seguridad informática

ANTIVIRUS ESET Endpoint Protection Advanced

Además de las características de seguridad que incorpora ESET Endpoint Protection Standard, la versión avanzada cuenta con un potente control web, cortafuegos personal y filtro antispam

Noticias Seguridad informática

El IoT (Internet de las cosas) y la vulnerabilidad de los dispositivos inteligentes

El IoT ha venido para quedarse y seguirá creciendo en el futuro, pero es importante tener en cuenta que nuestra…

Licenciamiento Microsoft

Licenciamiento Microsoft

Licenciamiento de Windows, Windows Server, Office, SQL, Cal, entre otros.

  • Contratos de licencias comerciales

    Los contratos de licencias comerciales tienen el potencial de brindar ahorros significativos, facilidad de implementación, adquisición flexible, opciones de pago variadas y otros beneficios tales como Software Assurance.

Microsoft está comprometido a apoyar a nuestros clientes con licencias que permiten la transformación digital, lo que impulsa sus logros. El rol de las licencias comerciales de Microsoft es permitir que los clientes adquieran la tecnología que necesitan para transformarse. Nuestra meta es brindar una experiencia de comercio unificada que le ofrezca a los clientes un acceso flexible a cualquier producto o servicio de Microsoft, ya sea que elijan comprar por su cuenta, a través de nosotros o de partners.

Noticias sobre seguridad informática

El IoT (Internet de las cosas) y la vulnerabilidad de los dispositivos inteligentes

El IoT ha venido para quedarse y seguirá creciendo en el futuro, pero es importante tener en cuenta que nuestra…

Información

Sophos Intercept X

Para detener la más amplia variedad de amenazas, Sophos Intercept X utiliza un completo enfoque de defensa exhaustiva a la protección para Endpoints, en lugar de simplemente depender de una técnica de seguridad principal.

Lleve la prevención de amenazas a niveles extraordinarios. La inteligencia artificial integrada en Intercept X es una red neuronal de Deep Learning, una forma avanzada de Machine Learning que detecta el malware tanto conocido como desconocido sin necesidad de firmas.

El Deep Learning hace que Intercept X sea más inteligente, más escalable y que ofrezca un mayor rendimiento que las soluciones de seguridad para endpoints que utilizan únicamente el Machine Learning tradicional o la detección basada en firmas.

  • Detección y respuesta gestionadas
  • Aplicación de la prevención de ejecución de datos
  • Selección aleatoria del diseño del espacio de direcciones obligatoria
  • Página NULL (Protección de desreferencia NULL)

Todas las funciones que se enumeran a continuación están incluidas en Sophos Intercept X Advanced with EDR.

Noticias sobre seguridad informática

El IoT (Internet de las cosas) y la vulnerabilidad de los dispositivos inteligentes

El IoT ha venido para quedarse y seguirá creciendo en el futuro, pero es importante tener en cuenta que nuestra…

Información

Trend Micro | Line securesoft | 2023 | Bogotá

Trend Micro

Trend Micro | Line securesoft | 2023 | Bogotá

Protege dispositivos Windows (desktops y servidores), Mac, iOS y Android, aplicando machine Learning de alta fidelidad en una mezcla de técnicas de protección frente a amenazas, con el fin de obtener la más amplia protección frente a Ransomware y ataques avanzados.

  • La mejor protección, el mejor rendimiento

  • Seguridad integral y gestión eficiente

  • Control total y productividad empresarial mejorada

  • Bloquee a los piratas informáticos para que no roben

Noticias sobre seguridad informática

El IoT (Internet de las cosas) y la vulnerabilidad de los dispositivos inteligentes

El IoT ha venido para quedarse y seguirá creciendo en el futuro, pero es importante tener en cuenta que nuestra…

Información

Safetica ONE

DLP Safetica - Line-Securesoft - Seguridad Informática 2021

    Prevención de Fuga de Datos y Productividad – Safetica ONE

    Protección ante la pérdida de información

    Prevención de Fuga de Datos y Productividad – Safetica ONE – Line-Securesoft – Seguridad Informática

    Safetica mantiene los datos críticos en la empresa. Controla los dispositivos de los empleados que se utilizan para trabajar. Ningún dato que se encuentre en la zona protegida de la empresa podrá escaparse de estos dispositivos. Los colaboradores no podrán sacar información para compartirla con la competencia ni para beneficio propio.

    • Protege los canales por los que pueden filtrase datos
    • Identifica actividades sospechosas
    • Ahorra los gastos de remediación de una fuga de datos
    • Reduce gastos de personal

    Protege archivos ante terceros – Prevención de Fuga de Datos y Productividad – Safetica ONE – Line-Securesoft – Seguridad Informática

    Evita que los archivos importantes lleguen a manos equivocadas, tanto dentro como fuera de la empresa, y les advierte a los administradores cuando detecta algún riesgo potencial.

    Detecta ataques

    Safetica es capaz de detectar ataques de ingeniería social así como intentos de extorsión en las etapas iniciales de estas amenazas, por lo que impide que afecten la empresa.

    Safetica-ONE-Fuga-Datos-Productividad

    El IoT (Internet de las cosas) y la vulnerabilidad de los dispositivos inteligentes

    El IoT ha venido para quedarse y seguirá creciendo en el futuro, pero es importante tener en cuenta que nuestra…

    Teletrabajo y seguridad informática

    La flexibilidad de horarios, el ahorro de tiempo en desplazamientos y la posibilidad de equilibrar mejor la vida personal y profesional han sido una…

    Las personas y su búsqueda de seguridad y privacidad

    La realidad cambió demasiado en las últimas décadas, la cantidad de información, la capacidad de comunicación, Las personas y su búsqueda de seguridad y privacidad

    Información

    ESET Endpoint Encryption

    ESET Endpoint Encryption

    ESET Endpoint Encryption es una aplicación de cifrado de datos fácil de usar para todo tipo de empresas. Aprovéchate de la instalación optimizada reduciendo el tiempo de puesta a punto a los administradores. Del lado del cliente requiere una mínima interacción del usuario, lo cual mejora el cumplimiento de políticas de seguridad de la información.

    Cifrado de datos para archivos en discos duros, dispositivos portátiles y enviados por correo electrónico

    ESET Endpoint Encryption | 2023 | line securesoft | Bogotá | Colombia

    Cómo ESET Endpoint Encryption puede ayudar a su negocio
    Cumpla con las obligaciones de seguridad de los datos al implementar fácilmente políticas de cifrado mientras mantiene alta la productividad.
    Las empresas grandes y pequeñas se benefician con una baja sobrecarga de la mesa de ayuda y ciclos cortos de implementación.
    Ningún otro producto puede igualar el cifrado ESET Endpoint Encryption por flexibilidad y facilidad de uso.

    • Cifrado simple y potente para organizaciones de todos los tamaños. ESET Endpoint Encryption
    • ESET Endpoint Encryption Cifre de forma segura discos duros, medios extraíbles, archivos y correo electrónico
    • FIPS 140-2 Cifrado AES validado de 256 bits para seguridad garantizada. ESET Endpoint Encryption
    • Servidor de administración basado en la nube híbrida para un control remoto completo de las claves. ESET Endpoint Encryption

    Noticias sobre seguridad informática

    El IoT (Internet de las cosas) y la vulnerabilidad de los dispositivos inteligentes

    El IoT ha venido para quedarse y seguirá creciendo en el futuro, pero es importante tener en cuenta que nuestra…

    Información

    ESET Secure Authentication

    ESET Secure Authentication 2020

    Autenticación de doble factor para una protección adicional de la información contra las contraseñas débiles.

    Múltiples formas de autenticar – ESET Secure Authentication

    ESET Secure Authentication admite aplicaciones móviles, notificaciones push, tokens de hardware, claves de seguridad FIDO, así como también métodos personalizados.

    • Prevenir las violaciones de datos
    • Cumplir con los requisitos de normativas
    • Administración centralizada desde el navegador
    • Compatible con teléfonos o tokens HW

    ESET Secure Autentication

    Seguridad eficiente para el acceso a los datos y a la nube Una forma simple y efectiva para que todo tipo de empresas

    Noticias sobre seguridad informática

    El IoT (Internet de las cosas) y la vulnerabilidad de los dispositivos inteligentes

    El IoT ha venido para quedarse y seguirá creciendo en el futuro, pero es importante tener en cuenta que nuestra…

    Información

    ESET Protect | Line securesoft | 2023 | Bogotá | Colombia

    eset protect

    ESET Protect | Line securesoft | 2023 | Bogotá | Colombia

    Solución integral de seguridad para empresas de todos los tamaños, brinda múltiples capas de protección, capaz de detectar Malware antes, durante y después de su ejecución. El machine Learning, el análisis de comportamiento avanzado, los macrodatos y la experiencia humana, equilibran el rendimiento, la detección y los falsos positivos.

    • Simple y directo

      Con ESET Soluciones para Empresa puedes mezclar y combinar la protección de los equipos según tus necesidades reales, implementándolo en una amplia variedad de sistemas operativos (Windows, Mac, Linux y Android) y dispositivos: ordenadores, smartphones, tabletas y servidores.

    • Bajo consumo de recursos

      Te permite garantizar un alto nivel de protección en el equipo, dejando la mayoría de los recursos del sistema para ejecutar los programas que utilizas normalmente. Nuestro producto también funciona perfectamente en equipos más antiguos, ahorrándote tiempo y costes de actualización.

    • Fácil de administrar

      Puedes instalar, configurar y administrar tu producto de seguridad desde una única consola. Ya no necesitas a un grupo de técnicos para instalar y configurar los productos de seguridad de tu empresa. Con la consola de administración remota puedes personalizar y controlar hasta el último detalle.

    ESET-Endpoint-Protection-Advanced-2021-bogota

    ESET Protect | Line securesoft | 2023 | Bogotá | Colombia

    • Antivirus y antiespía

      Elimina todo tipo de amenazas tales como virus, rootkits, gusanos y software espía, manteniendo la red de tu empresa protegida en todo momento. El análisis potenciado en la nube consulta en la base de datos de ESET información sobre posibles procesos sospechosos para obtener una mayor rapidez en los análisis y reducir al mínimo los falsos positivos.

    • Sistema avanzado de prevención de intrusiones (HIPS)

      Protege los registros del sistema, los procesos, las aplicaciones y los archivos frente a modificaciones no autorizadas. Puedes personalizar el comportamiento del sistema hasta el último detalle y detectar incluso amenazas desconocidas en función de comportamientos sospechosos.

    • Control de dispositivos

      Evita el robo de información de tu empresa bloqueando los dispositivos y medios extraíbles no autorizados en base a reglas y parámetros predefinidos. Puedes establecer permisos de acceso (lectura/escritura, lectura, bloqueo) para determinados medios extraíbles, dispositivos, usuarios y grupos.

    Noticias sobre seguridad informática

    El IoT (Internet de las cosas) y la vulnerabilidad de los dispositivos inteligentes

    El IoT ha venido para quedarse y seguirá creciendo en el futuro, pero es importante tener en cuenta que nuestra…

    Teletrabajo y seguridad informática

    La flexibilidad de horarios, el ahorro de tiempo en desplazamientos y la posibilidad de equilibrar mejor la vida personal y profesional han sido una…

    Las personas y su búsqueda de seguridad y privacidad

    La realidad cambió demasiado en las últimas décadas, la cantidad de información, la capacidad de comunicación, Las personas y su búsqueda de seguridad y privacidad

    Información