Fallo de Check Point bajo explotación activa.

Un grupo de amenazas denominado “Green Nailao” esta apuntando a organizaciones europeas, particularmente en el sector de la salud, utilizando la vulnerabilidad de seguridad de Check Point Network Gateway, CVE-2024-24919.

¿Cuál es la amenaza?

CVE-2024-24919, con una puntuación CVSS de 7,5, es una vulnerabilidad critica en Check Point Security Gateways. Esta falla permite a los atacantes extraer hashes de contraseñas de todas las cuentas locales para facilitar el acceso no autorizado a VPN utilizando credenciales legítimas. Los actores maliciosos están utilizando esta vulnerabilidad para realizar reconocimiento, moverse lateralmente a través de la red y escalar privilegios a través de RDP.

Tras una explotación exitosa, están implementando cepas de Malware, incluidas ShadowPad o PlugX, mediante la carga lateral de DLL maliciosas utilizando binarios legítimos. El atacante puede exfiltrar datos y/o ejecutar el ransomware NailaoLocker, exigiendo pagos en Bitcoin o solicitando contacto a una dirección de correo Proton.

¿Por qué es digno de mención?

Esta vulnerabilidad permite a los atacantes implementar ransomware para obtener ganancias financieras, lo que subraya la importancia de contar con medidas de seguridad sólidas, como la aplicación de políticas de contraseñas seguras y la implementación una solución de autenticación de multifactor para evitar el acceso no autorizado y posibles incidentes de ransomware.

¿Cuál es el riesgo?

Las organizaciones, en particular las que trabajan en sectores críticos como la atención sanitaria, corren un alto riesgo. Se sabe que ShadosPad ataca a entidades gubernamentales, a los sectores energético y tecnológico y a las instituciones educativas. Un ataque exitoso puede provocar lo siguiente:

Fallas de datos: los atacantes podrían robar datos confidenciales de las organizaciones sanitarias comprometidas.

Interrupción de servicios: los ataques de ransomware pueden interrumpir servicios sanitarios críticos, lo que podría afectar a la atención al paciente.

Pérdidas financieras: las organizaciones pueden incurrir en costes significativos debido a la recuperación de datos, la restauración del sistema y el pago de rescates.

Reconocimiento: ShadowPad permite a los atacantes mantener el acceso a largo plazo a los sistemas comprometidos, lo que aumenta el riesgo de futuros ataques.

Recomendaciones

Se recomienda realizar algunas de las siguientes acciones para mitigar el impacto:

• Actualice los dispositivos afectados al firmware mas reciente.
• Aplique contraseñas seguras y únicas para todas las cuentas con regularidad.
• Implementé la autenticación multifactor (MFA) para agregar una capa adicional de seguridad.
• Implemente soluciones avanzadas de protección de puntos finales, como servicios XDR para usuario final.
• Aisle los sistemas y redes críticos para evitar el movimiento lateral de los atacantes.
• Desarrolle un plan de respuesta a incidentes que incluya procedimientos para ataques de ransomware que garanticen una rápida recuperación y contención.
• Realice sesiones de capacitación periódicas para educar a los empleados sobre los ataques de phishing y las practicas seguras en linea para reducir el riesgo de vulneración de credenciales.
• Mantenga copias de seguridad periódicas de los datos críticos y asegúrese de que los sistemas de copia de seguridad estén aislados de la red principal para evitar que el ransomware encripte las copias de seguridad.

Empieza a ahorrar con nuestros servicios de ciberseguridad administrados, contáctanos ahora mismo:

• Sitio web: Cobra Networks proveedor de Ciberseguridad en México para las marcas de Barracuda Networks, Censornet, Untangle
• Teléfono: +52(55)5599-0691
• Correo de contacto: ventas@cobranetworks.lat

JR