365 Total Protection ha sido galardonado con el premio “Computing Security 2020“

365 Total Protection ha sido galardonado con el premio “Computing Security 2020“

El 10 de diciembre de 2020 los ganadores de los premios “Computing Security“ de este año fueron anunciados en directo en YouTube.

Hornetsecurity tiene motivos para estar de celebración porque su servicio 365 Total Protection fue nombrado como ganador en la categoría «Editor’s Choice»

El servicio 365 Total Protection Suite de Hornetsecurity ofrece una gestión de seguridad del correo electrónico diseñada específicamente para las cuentas Microsoft 365. Los clientes de M365 se benefician de una protección completa, así como de una gestión de seguridad de TI simplificada.

Los editores de la revista británica Computing Security reconocieron a 365 TP como una solución altamente eficiente, que complementa el servicio en la nube de Microsoft con mecanismos de seguridad críticos.

Microsoft 365 como objetivo de los ciberataques

Microsoft 365 es utilizado por más de un millón de empresas en todo el mundo. Sólo en los EE.UU., más de 650.000 empresas dependen de este software en sus operaciones diarias. En la nube de Microsoft 365 se intercambian grandes cantidades de datos sensibles cada día. Los ciberdelincuentes también son conscientes de esto. La compañía reportó un incremento del 250 por ciento en los ataques dirigidos ya a principios de 2020.

Si además se tiene en cuenta que el 95 por ciento de todos los ciberataques a empresas comienzan con un correo electrónico, entonces queda claro: la protección adecuada para la comunicación por correo electrónico es extremadamente importante, y 365 Total Protectiones la solución ideal.

365 Total Protection reconocida como “Editor’s Choice“ del año

El premio se basa en una prueba detallada del producto, que se puede descargar gratuitamente.

El resumen de los editores dice:

«Hornetsecurity ofrece una solución rentable y altamente eficiente. Su servicio en la nube 365 Total Protection proporciona una gran cantidad de medidas de seguridad para el correo electrónico, que incluye protección basada en la inteligencia de la IA, lo que le permite evolucionar a medida que surgen nuevas amenazas».
365 Total Protection combina todas las características de seguridad necesarias que requiere una gestión de la seguridad del correo electrónico totalmente integral. Entre ellas se incluyen el seguimiento directo de correo electrónico, la defensa contra amenazas y el cifrado global S/MIME y PGP. En la versión para empresas, se añaden características adicionales como Malware Ex-Post Alert, el Sandboxing ATP y el archivado de correo electrónico. La empresa utiliza mecanismos de filtrado inteligente en sus soluciones de protección, que permiten la detección y el filtrado eficaces de cualquier ciberamenaza través del correo electrónico.
La revista Computing Security Magazine concluye su evaluación de la siguiente manera: «365 Total Protection de Hornetsecurity hace honor a su nombre, ya que ofrece una solución de seguridad inteligente para el correo electrónico que se integra perfectamente con Microsoft 365. Completa los agujeros de seguridad que deja Microsoft, y con precios para la versión Business que comienzan a partir de sólo 2 dólares por usuario al mes, es asequible para organizaciones de todos los tamaños».
Hornetsecurity evalúa la puerta trasera de SolarWinds SUNBURST

Hornetsecurity evalúa la puerta trasera de SolarWinds SUNBURST

Resumen ejecutivo

  • FireEye descubrió un ataque global de tipo troyano a la cadena de suministro de la Plataforma Orión de SolarWinds, a causa de una puerta trasera que FireEye llamó SUNBURST.
  • Versiones afectadas: plataforma SolarWinds Orion, versiones 2019.4 HF 5, 2020.2 (sin ningún hotfix instalado), 2020.2 HF 1
  • Versión corregida: Plataforma SolarWinds Orion versión 2020.2.1 HF 2
  • Aunque las versiones troyanas de la Plataforma Orión de SolarWinds se han difundido ampliamente entre organizaciones públicas y privadas de todo el mundo, la información actual indica que la puerta trasera de SUNBURST fue utilizada para el espionaje por un estado nacional y sólo se usó para infiltrarse en un grupo selecto de víctimas. Otros daños colaterales ocurrieron al  instalar las versiones troyanas de la Plataforma Orión de SolarWinds .
  • Para saber si estás afectado (más allá de comprobar las versiones instaladas de la Plataforma Orion de SolarWinds) comprueba los registros DNS consultando avsvmcloud[.]com o.digitalcollege[.]org (¡Incluyendo subdominios!).
  • Hornetsecurity no se ve afectada y no utiliza productos de SolarWinds.
  • Debido a que se trata de un incidente global en curso, comprueba los enlaces a los siguientes recursos para obtener información e imágenes actualizadas.

Resumen

El 13 de diciembre de 2020, FireEye reveló una puerta trasera en las actualizaciones de la Plataforma Orión de SolarWinds. Las organizaciones afectadas deben actualizar la versión corregida de manera inmediata.

La puerta trasera es parte de una operación de espionaje global y se utiliza para acceder a las redes del Gobierno y de empresas privadas de alto perfil.

Hornetsecurity evaluó su situación y no se ve afectada.

Antecedentes

La Plataforma Orion de SolarWinds es el líder del mercado de monitorización de redes, con más de 275.000 clientes en 190 países y proporcionando monitorización de redes a 400 de las empresas de la lista Fortune 500, el gobierno de EE.UU. y otras organizaciones de alto perfil.

El 13 de diciembre de 2020, FireEye reveló que durante el periodo comprendido entre el 01-03-2020 y 01-06-2020, las actualizaciones de la Plataforma Orión de SolarWinds fueron troyanizadas, por ello, lo llamaron la puerta trasera de SUNBURST.3 Previamente el 18-12-2020 FireEye  reveló una brecha de seguridad en su propia organizaciónn,2 para la que más tarde se identificó la actualización de la Plataforma Orión de SolarWinds como el vector de intrusión.

FireEye atribuye esta intrusión a un actor de amenaza aún desconocido que están rastreando como UNC2452. Aunque muchos medios de comunicación informan de esta intrusión atribuida al APT29, creemos que esto es incorrecto ya que el APT29 es un actor de amenaza designado por el propio FireEye pero aún así no lo han atribuido directamente al APT29.

El 14-12-2020  SolarWinds publicó un aviso de seguridad1 en relación a este asunto.

Análisis técnico

La puerta trasera deSolarWinds.Orion.Core.BusinessLayer.dll del software de la plataforma de SolarWinds Orion, espera después de la instalación una cantidad  entre 12 y 14 días – seleccionada al azar – antes de ejecutar su código malicioso.  Intenta establecer una comunicación C2 usando un algoritmo de generación de nombres de dominio (DGA) to <ENCODED VICTIM HOSTNAME>.appsync-api.{eu,us}-{west,east}-{1,2}.avsvmcloud[.]com. El código <ENCODED VICTIM HOSTNAME> de la parte del subdominio contiene el nombre del host codificado de las víctimas. Puede ser decodificado usando una herramienta proporcionada por RedDrip77

Los registros de subdominio correspondientes a los nombres de host de las víctimas a las que se dirigía la intrusión recibieron una respuesta DNS CNAME que los redirigió a uno de los dominios C2. Las víctimas que no eran el objetivo no recibieron un CNAME.6Aunque se trata de un ataque a gran escala a la cadena de suministro, la información actual indica que el propósito de la intrusión es el espionaje llevado a cabo por un estado nacional. Esto significa que mientras (según los archivos de la SEC de SolarWinds 8) alrededor de 18.000 víctimas instalaron las actualizaciones comprometidas, sólo una fracción muy pequeña fue realmente el objetivo de este ataque, el resto son daños colaterales.

En las organizaciones seleccionadas, la puerta trasera se utiliza como puente en la red de la organización, mediante la instalación de la TEARDROP y BEACON (del marco de Cobalt Strike) malware para infiltrarse aún más en la red.

Conclusión y medidas

A diferencia del ataque a la cadena de suministro contra el paquete de contabilidad fiscal ucraniano M.E.Doc, que dio lugar al incidente global de NotPetya en 2017, el objetivo de esta intrusión era el espionaje. Por lo tanto, sólo redes de objetivos seleccionados fueron instruidas a través de la puerta trasera de SUNBURST, del software comprometido de la Plataforma Orion de SolarWinds.

Las organizaciones que hayan instalado una versión de la Plataforma Orión de SolarWinds afectada deben tratar a todos los anfitriones monitoreados por la Plataforma Orión de SolarWinds como comprometidos, identificar todas las cuentas e infraestructuras controladas por los actores de la amenaza dentro de la organización y eliminarlas, y sólo entonces reconstruir la instalación de la Plataforma Orión de SolarWinds. Las organizaciones con requisitos de protección elevados pueden seguir la guía de la Directiva de Emergencia 21-01 del DHS4 (obviamente sin informar al CISA, a menos que la organización sea parte del gobierno de los EE.UU).

Un buen punto de partida para identificar la actividad de los actores de la amenaza es buscar los IoCs proporcionados por FireEye3,5 en los registros DNS. En caso de que los DNS consulten a uno de los <ENCODED VICTIM HOSTNAME>.appsync-api.{eu,us}-{west,east}-{1,2}.avsvmcloud[.]com subdominios encontrados, puedes usar SunBurst DGA Decoder provided by RedDrip77 para averiguar qué nombre de host, ejecutó tu red por puerta trasera SUNBURST. En caso de que encuentres respuestas CNAME a estas consultas DNS, esto significaría que además de ejecutar el código de puerta trasera, los actores de la amenaza están/estaban interesados en el host y elevaron la conexión a una conexión C2 completa. En este último caso, recomendamos contactar inmediatamente con un proveedor de respuesta a incidentes competente.

Aplaudimos a nuestros colegas de FireEye por sus minuciosas investigaciones.

Referencias

Indicadores de compromiso (IoCs)

Para una lista completa de IoCs y firmas de detección, por favor vea las contramedidas publicadas por FireEye: https://github.com/fireeye/sunburst_countermeasures

DNS

  • .avsvmcloud[.]com
  • .appsync-api.eu-west-1[.]avsvmcloud[.]com
  • .appsync-api.us-west-2[.]avsvmcloud[.]com
  • .appsync-api.us-east-1[.]avsvmcloud[.]com
  • .appsync-api.us-east-2[.]avsvmcloud[.]com
  • .digitalcollege[.]org

¡Indicadores conocidos solamente a partir del 16-12-2020! Por favor, para obtener información actualizada comprueba los recursos vinculados.