La semana pasada, la Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA) de los Estados Unidos anunció el lanzamiento del programa Pilot Pilot de Advertencia de Vulnerabilidad de Ransomware (RVWP) para "identificar de manera proactiva los sistemas de información que contienen vulnerabilidades de seguridad comúnmente asociadas con los ataques por ransomware". Una vez que el programa haya identificado sistemas vulnerables, CISA les notificará para que puedan aliviar las fallas antes de que los atacantes causen demasiado daño. La agencia indica que buscará los sistemas interesados ​​utilizando servicios, fuentes de datos, tecnologías y autoridades existentes, incluido su análisis de vulnerabilidad. La CISA lanzó el RVWP notificando a 93 empresas identificadas como que realizan instancias de servicio de Microsoft Exchange con la falla llamada ProxynotShell ampliamente explotada por los actores de ransomware. La agencia dijo que este ciclo ha demostrado "la efectividad de este modelo para reducir los riesgos en un tiempo oportuno, mientras que extendemos más a RVWP a las vulnerabilidades y organizaciones adicionales".

“RVWP permitirá a CISA proporcionar información oportuna y utilizable que reduzca directamente la prevalencia de incidentes de ransomware nocivos que afectan a las organizaciones estadounidenses. Alentamos a cada organización a aliviar urgentemente las vulnerabilidades identificadas por este programa y a adoptar medidas de seguridad sólidas de acuerdo con las directivas del gobierno de EE. UU. En stopransomware.gov ", dijo Eric Goldstein, director ejecutivo adjunto de ciberseguridad de la CISA.

Índice
  1. Un piloto comenzó con proxynotshell
  2. Los defectos más antiguos deben ser los siguientes para RVWP
  3. Un programa alojado en los brazos abiertos

Un piloto comenzó con proxynotshell

Más allá del anuncio oficial, la CISA dio pocos detalles sobre el programa RVWP. Una pregunta es por qué la organización lanzó el programa con proxynotshell vulnerabilidad. Proxynotshell es el último de una serie de fallas operadas por el Hafnium Cybergang respaldado por China dirigido a los servidores de Microsoft Exchange. A finales de septiembre, dos fallas de cero día (CVE-2022-41040, CVE-2022-41082) se conocieron colectivamente como proxynotshell. Microsoft publicó correctos para ProxynotShell en noviembre. "Le garantizo que la razón más probable es haber tenido una advertencia o aviso de que se usó", dijo a nuestro colega CSO Andrew Morris, fundador y CEO de Greynoise. “Esta vulnerabilidad fue utilizada activamente por un actor malicioso para lograr numerosos compromisos y espías en los estadounidenses y las empresas. Debido a que la CISA trabaja de la mano con la comunidad de inteligencia de los Estados Unidos, lo más obvio y probable es simplemente que tenían en mente que es una vulnerabilidad que ciertos actores estatales usan con un éxito loco ".

Satnam Narang, ingeniero de investigación senior de Tenable, dijo que su negocio había visto a varios reproductores de ransomware disfrutar de Proxynotshell en los últimos meses. "Diría que alrededor de la segunda mitad del año pasado, y a principios de este año, el grupo Ransomic Ransomic fue muy notable por su uso de ProxynotShell porque lograron encontrar una manera de apuntar a las recomendaciones de mitigación de la mitigación de que Microsoft Inicialmente se había proporcionado cuando se han revelado vulnerabilidades. , El poder judicial argentino de Córdoba y otros objetivos principales.

Los defectos más antiguos deben ser los siguientes para RVWP

Proxynotshell también se ha descubierto recientemente, pero algunos expertos piensan que la CISA estaría mejor ubicada para comenzar a buscar vulnerabilidades más antiguas que son la base de la mayoría de los ataques de ransomware. "La mayoría de las vulnerabilidades de la ransómica se dirigen a al menos un año, incluso a dos años", dijo Jonathan Trull, vicepresidente senior de la arquitectura de soluciones de seguridad y CISO en Qualys. Y este último agregó que la investigación de Qualys muestra que los 300 defectos antiguos y no relacionados son lo que los atacantes de ransomware están buscando explotar muchas veces. "Sabemos muy de cerca, gracias a nuestra investigación, que es un puñado de vulnerabilidades idénticas en cada kit de ransomware", dijo. "Espero que la agencia no se concentre solo en lo último y en lo mejor". Satnam Narang cree que la CISA se centrará en las aplicaciones para el público en su próxima iniciativa RVWP. "Creo que el programa se centrará en gran medida en identificar estas aplicaciones públicas vulnerables porque, con mayor frecuencia, los grupos de ransomware están buscando aplicaciones públicas que contengan vulnerabilidades". Satnam Narang subraya el pico de los grupos de rescate dirigidos al VPN SSL al comienzo de la pandemia como uno de estos objetivos públicos. “Hemos visto grupos de ransomware dirigidos a estas VPN SSL. Hemos estado hablando de eso durante mucho tiempo durante años. Siempre vemos a los explotados por grupos de ransomware ”.

La CISA indica que advertirá a las entidades críticas de infraestructura en el contexto de los esfuerzos de análisis RVWP, que sufren de vulnerabilidades que pueden conducir a ataques de ransomware. El programa probablemente beneficiará más a las pequeñas organizaciones, ya que las grandes organizaciones generalmente tienen más personal y recursos para remediar o administrar vulnerabilidades. "Sospecho que muchas pequeñas y medianas empresas probablemente se beneficiarán de ello, porque a menudo estas compañías no tienen el presupuesto o el personal de seguridad requerido", dice Satnam Narang. “Pueden externalizar su seguridad para administrar proveedores de servicios. Pero, incluso en este caso, creo que probablemente serán los mayores beneficiarios de este tipo de programa. "Las boutiques y las pequeñas agencias gubernamentales necesitan este tipo de servicio, Advance Andrew Morris. “Aquí es donde su impacto será el más importante. Ellos son los que más lo necesitan. "

Un programa alojado en los brazos abiertos

La reacción RVWP parece ser uniformemente positiva. "Lideré un equipo bastante grande de respuesta a incidentes para Microsoft en ese momento", dijo Jonathan Trull. “De todos los incidentes que encontramos, probablemente del 90 al 95 % estaban vinculados al ransomware. Entonces, creo que tener que responder a estos incidentes en todo el mundo y ver su impacto, estoy encantado de ver que esta iniciativa comience [...] Creo que esta es una iniciativa fantástica dado el éxito de los grupos ransómicos para entrar en organizaciones dirigidas a vulnerabilidades conocidas ", dijo Satnam Narang. Y Andrew Morris para explicar:" Mi impresión general es que es muy bueno. Es un gran paso en la dirección correcta para proteger a las empresas estadounidenses del ransomware y proteger a los estadounidenses.