Recientemente observamos un incidente en el que se usó un certificado de firma de código falso que supuestamente pertenecía a Emsisoft en un intento de ofuscar un ataque dirigido contra uno de nuestros clientes. La organización en cuestión usó nuestros productos y el objetivo del atacante era lograr que esa organización permitiera una aplicación que el actor de amenazas instaló y pretendía usar haciendo que su detección pareciera ser un falso positivo.

El ataque falló, nuestro producto lo detectó y lo bloqueó, pero emitimos esta alerta para que tanto nuestros clientes como los usuarios de productos de otras empresas estén al tanto de las tácticas que se utilizaron en este caso.

Si bien el método por el cual se obtuvo el acceso inicial no está claro, lo más probable es que haya sido mediante un ataque de fuerza bruta en RDP o el uso de credenciales comprometidas (un inicio de sesión robado).

Una vez que el atacante aseguró el acceso a un punto final, instaló una aplicación de acceso remoto de código abierto llamada MeshCentral. Esta es una aplicación de doble propósito, lo que significa que es una herramienta legítima que puede usarse con fines maliciosos. Debido a que se puede usar para fines legítimos y no es inherentemente malicioso, su presencia en un punto final no necesariamente activará ninguna alarma, ya sea de las soluciones de seguridad o de los humanos.

El atacante firmó el ejecutable de MeshCentral con un certificado llamado "Emsisoft Server Trusted Network CA". Creemos que esto se hizo para que cualquier detección de la aplicación parezca un falso positivo. Después de todo, uno de nuestros productos se instaló y ejecutó en el punto final comprometido, por lo que se puede creer que una aplicación que supuestamente había sido firmada por un certificado de Emsisoft es segura y está incluida en la lista de permitidos.

Como se señaló anteriormente, el ataque fracasó, pero el incidente, sin embargo, destaca la necesidad de que las organizaciones estén extremadamente atentas al incluir en la lista de permitidos. Si una organización autoriza una aplicación que no debe permitirse, un atacante puede desactivar la protección antivirus, moverse lateralmente dentro de la red, filtrar datos y, en última instancia, implementar ransomware.

Los usuarios de los productos Emsisoft pueden verificar fácilmente la validez de un certificado utilizado para firmar una aplicación detectada. Si se verifica, se marcará como "Verificado". Si no se verifica, se marcará como "Desconocido".

En el caso de certificados "Desconocidos", el mejor curso de acción es poner en cuarentena la aplicación en espera de una mayor investigación. Nunca se debe permitir una aplicación hasta que se determine de manera concluyente que es segura y pertenece al punto final (en otras palabras, que fue instalada por la organización y no por un atacante). En caso de duda, envíenos la aplicación detectada para que la analicemos desde su producto Emsisoft.

Este incidente demuestra la necesidad de que las organizaciones tengan múltiples capas de protección para que, si una capa falla en bloquear un ataque, otra capa lo haga. Se llama el modelo de queso suizo, y las capas de Emsisoft incluyen:

• Detección de ataques RDP que creará una alerta en caso de que se detecte un ataque. Estas alertas siempre deben tratarse con seriedad.

• Protección contra phishing que ayudará a evitar que los usuarios proporcionen inadvertidamente sus inicios de sesión a los atacantes.

• File Guard, que utiliza firmas para detectar amenazas conocidas.

• Bloqueo de comportamiento que puede determinar si una aplicación es potencialmente maliciosa en función de sus patrones de comportamiento.

• Establezca una contraseña de administrador en su producto Emsisoft. Este es un mecanismo antimanipulación para evitar que cualquier atacante que logre obtener acceso a un punto final lo deshabilite.

• Endpoint Detection and Response (EDR) ayudará a identificar la actividad sospechosa antes en la cadena de ataque y hará que el análisis de la causa raíz sea más rápido y fácil.

Estas y las otras capas de las soluciones de protección de puntos finales de Emsisoft se combinan para detectar y bloquear amenazas de manera efectiva, sin importar el vector de ataque.

Conclusión

Recomendamos encarecidamente que los usuarios de nuestros productos establezcan una contraseña de administrador para su producto Emsisoft como se describe anteriormente. Este mecanismo antimanipulación garantiza que, en el improbable caso de que un pirata informático pueda obtener acceso a un punto final, no podrá desactivar su protección. Esto es de importancia crítica. Los actores de ransomware generalmente intentan deshabilitar los productos de seguridad para que el intento de encriptación no sea detectado o bloqueado. Establecer una contraseña asegurará que no puedan hacer eso. Es una última línea de defensa.

Las aplicaciones detectadas solo deben permitirse una vez que se haya confirmado que no son maliciosas y deben estar presentes en el punto final. En caso de duda, consulte con nosotros o con el proveedor de cualquier producto de seguridad que utilice. Permitir una aplicación malintencionada o de doble uso podría permitir la instalación de malware y dar lugar a un incidente que es enormemente disruptivo y extremadamente costoso.