Microsoft bloquea el malware Sunburst en la raíz del hack de SolarWinds
Microsoft ahora está bloqueando la puerta trasera Sunburst utilizada en el ciberataque SolarWinds que ha cobrado numerosas víctimas en todo el mundo.
La puerta trasera de Sunburst es una característica clave del ataque continuo a la cadena de suministro, y la publicación de una firma de malware global debería reducir considerablemente la amenaza.
¿Qué es el ciberataque de SolarWinds?
En diciembre de 2020, numerosas agencias gubernamentales de EE. UU. Anunciaron que habían sido víctimas de una extensa operación de piratería. La puerta trasera del ataque se insertó mediante una actualización maliciosa a través del software de administración de TI y monitoreo remoto SolarWinds Orion.
En el momento de escribir este artículo, el hack de SolarWinds ha reclamado al Tesoro de los EE. UU., Junto con los Departamentos de Seguridad Nacional, Estado, Defensa y Comercio como víctimas, con la posibilidad de más revelaciones.
Aún no se conoce el verdadero alcance del ataque SolarWinds. En declaraciones a la BBC , el investigador de ciberseguridad, el profesor Alan Woodward, dijo: "Después de la Guerra Fría, esta es una de las penetraciones potencialmente más grandes de los gobiernos occidentales que yo conozca".
¿Qué es la puerta trasera Sunburst?
Un ataque tan vasto tomó meses, si no años, de planificación. El ataque se puso en marcha con la entrega de una actualización maliciosa no descubierta del software SolarWinds Orion.
Sin el conocimiento de SolarWinds y sus usuarios, muchos de los cuales son departamentos gubernamentales, un actor de amenazas había infectado una actualización.
La actualización se implementó para al menos 18,000 y potencialmente hasta 300,000 clientes. Cuando se activaba, la actualización activaba una versión troyanizada del software Orion, lo que permitía al atacante acceder a la computadora y a la red en general.
Este proceso se conoce como ataque a la cadena de suministro. El ataque fue descubierto por FireEye, que fue víctima de una violación de datos de alto perfil relacionada en diciembre de 2020.
El resumen del informe de FireEye dice:
Los actores detrás de esta campaña obtuvieron acceso a numerosas organizaciones públicas y privadas de todo el mundo. Obtuvieron acceso a las víctimas a través de actualizaciones troyanizadas del software de gestión y supervisión de TI Orion de SolarWind. Esta campaña puede haber comenzado ya en la primavera de 2020 y actualmente está en curso. La actividad posterior al compromiso después de este compromiso de la cadena de suministro ha incluido el movimiento lateral y el robo de datos.
Sunburst, entonces, es el nombre con el que FireEye está rastreando el ciberataque y el nombre que se le da al malware distribuido a través del software SolarWinds.
¿Cómo está Microsoft bloqueando la puerta trasera Sunburst?
Microsoft está implementando detecciones para sus herramientas de seguridad. Una vez que la firma de malware se implemente en Seguridad de Windows (anteriormente Windows Defender), las computadoras que ejecutan Windows 10 tendrán protección contra el malware.
Según el blog del equipo de inteligencia de amenazas de Microsoft 365 Defender :
A partir del miércoles 16 de diciembre a las 8:00 a.m. PST, Microsoft Defender Antivirus comenzará a bloquear los binarios maliciosos conocidos de SolarWinds. Esto pondrá en cuarentena el binario incluso si el proceso se está ejecutando.
Microsoft también ofrece los siguientes pasos de seguridad adicionales si encuentra el malware Sunburst:
- Aísle inmediatamente el dispositivo o los dispositivos infectados. Lo más probable es que si encuentra el malware Sunburst, es probable que su dispositivo esté bajo el control de un atacante.
- Si se utilizó alguna cuenta en el dispositivo infectado, debe considerarlas comprometidas. Restablezca cualquier contraseña relacionada con la cuenta o retire la cuenta por completo.
- Si es posible, comience a investigar cómo se vio comprometido el dispositivo.
- Si es posible, comience a buscar indicadores de que el malware se ha trasladado a otros dispositivos, lo que se conoce como movimiento lateral.
Para la mayoría de las personas, los dos primeros pasos de seguridad son los más importantes. También puede encontrar más información de seguridad en el sitio de SolarWinds .
No hay confirmación de la identidad de los atacantes, pero se cree que el trabajo es obra de un equipo de piratería estatal altamente sofisticado y con buenos recursos.