Hackers atacan a la red de Avast que tienen a CCleaner como objetivo

Kbite

Aprender y compartir
Administrador
Hackers atacan a la red de Avast que tienen a CCleaner como objetivo.

Un comunicado de Avast reconoce que ha sido objetivo de un ataque en forma de campaña de ciberataque con el que han podido introducirse en su red. Esto es algo bastante obvio ya que trabajan continuamente en deshacer los intentos de ataques, por lo que sería un objetivo prioritario para esos atacantes.

El pasado 23 de Septiembre ta detectaron algunos movimientos sospechosos en su red, por lo que la investigación se inicio de inmediato, en la que se involucró la agencia de inteligencia checa, el BIS (Security Information Service), policía checa y forenses especializados externos.

Se detectó una "replicación maliciosa de servicios de directorio desde una IP interna" que hacían referencia a software que permiten a los administradores Se tuvo acceso a una cuenta de usuario comprometida (sin permisos de administrador de dominio), en la que lograron escalar los permisos.

"La evidencia que reunimos apuntaba a la actividad en MS ATA / VPN el 1 de octubre, cuando volvimos a revisar una alerta de MS ATA de una replicación maliciosa de servicios de directorio desde una IP interna que pertenecía a nuestro rango de direcciones VPN, que originalmente se había descartado como Un falso positivo. El usuario, cuyas credenciales aparentemente estaban comprometidas y asociadas con la IP, no tenía privilegios de administrador de dominio. Sin embargo, a través de una escalada de privilegios exitosa, el actor logró obtener privilegios de administrador de dominio. La conexión se realizó desde una IP pública alojada fuera del Reino Unido y determinamos que el atacante también usó otros puntos finales a través del mismo proveedor de VPN"

Avast analizó las IPs externas descubriendo que se había intentado acceder a la red a través de la propia VPN de Avast desde el día 14 de mayo, fecha en la que se produjeron distintos intentos de acceso con diversidad de nombres de usuarios y contraseñas para tener acceso a dicha VPN temporal y que se mantenía por error, y parece que se mantuvo habilitado por error, y que no requería de autentificación en dos pasos a la hora de realizar la conexión.

CCleaner ya fue objetivo de este tipo de ataques ya que fue hackeado hace dos años siendo ya propiedad de Avast. La compañía comprobó todas las versiones anteriores y detuvo todas los lanzamientos de nuevas versiones del popular software. Así mimo se lanzó una actualización automática el día 15 de Octubre.

"De las ideas que hemos reunido hasta ahora, está claro que este fue un intento extremadamente sofisticado contra nosotros que tenía la intención de no dejar rastros del intruso o su propósito, y que el actor estaba progresando con una precaución excepcional para no ser detectado No sabemos si este fue el mismo actor que antes y es probable que nunca lo sepamos con certeza, por lo que hemos llamado a este intento 'Abiss'.

Avast asegura que, tras las actualizaciones de seguridad lanzadas, los usuarios con CCleaner están protegidos por completo y que están atentos a cualquier nuevo intento de ataque similar al relatado.

-------------------------------
 
Arriba Pie