Las agencias describieron a Cyclops Blink como un marco de reemplazo para el malware VPNFilter, detectado en 2018 y dise\u00f1ado para la explotaci\u00f3n de dispositivos de red como enrutadores y unidades de almacenamiento conectado a la red (NAS).<\/p>\n Los operadores de Cyclops\u00a0 Blink\u00a0 parecen\u00a0 actuar\u00a0 de\u00a0 forma\u00a0 indiscriminada\u00a0 contra dispositivos firewall\u00a0 WatchGuard\u00a0 con\u00a0\u00a0 configuraciones\u00a0\u00a0 predeterminadas, aunque es altamente probable que el malware pueda acoplarse en otras arquitecturas y firmware.<\/p>\n El malware cuenta con una funcionalidad central b\u00e1sica para enviar informaci\u00f3n del dispositivo comprometido a un servidor controlado por los hackers, adem\u00e1s de permitir que los archivos se descarguen y ejecuten. Una funcionalidad adicional permite agregar nuevos m\u00f3dulos mientras se ejecuta el malware, haciendo que Sandworm incluya nuevas caracter\u00edsticas a un ataque seg\u00fan sea necesario.<\/p>\n Cyclops Blink se carga en la\u00a0 memoria\u00a0 como\u00a0 dos\u00a0 segmentos\u00a0 de\u00a0 programa,\u00a0 uno\u00a0 con permisos\u00a0 de\u00a0 lectura\/ejecuci\u00f3n\u00a0 y\u00a0 otro\u00a0 con\u00a0 permisos\u00a0 de\u00a0 lectura\/escritura. El primero contiene la cabecera ELF de Linux y el c\u00f3digo ejecutable, mientras que el segundo, contiene los datos utilizados por el malware.<\/p>\n \u00a0<\/p>\n En etapas posteriores, los hackers implementan la carga \u00fatil como parte de una supuesta actualizaci\u00f3n de firmware, obteniendo persistencia a pesar del reinicio en el sistema dificultando su remediaci\u00f3n. Los dispositivos de las v\u00edctimas se organizan en grupos y cada implementaci\u00f3n de Cyclops Blink tiene una lista de direcciones IP de puertos y servidores C&C utilizados. Todas las direcciones IP conocidas hasta la fecha han sido utilizadas por firewalls WatchGuard comprometidos.<\/p>\n Las comunicaciones entre los clientes y servidores de Cyclops Blink est\u00e1n protegidas por Transport Layer Security, empleando claves y certificados generados de forma individual. Sandworm gestiona Cyclops Blink conect\u00e1ndose a sus servidores C&C a trav\u00e9s de la red Tor.<\/p>\n La amenaza sigue activa y un ataque puede resultar desastroso para las organizaciones afectadas, por lo que las agencias recomiendan a los administradores de sistemas verificar su informe completo para estar al tanto de las mejores formas de mitigar este riesgo de seguridad.<\/p>\n Mitre Att&ck<\/strong><\/p>\n Esta alerta a compilado informaci\u00f3n respecto al marco MITRE ATT&CK, esto es una base de conocimientos globalmente accesible sobre las t\u00e1cticas y t\u00e9cnicas de los adversarios basada en observaciones del mundo real.<\/p>\n \t\t\t\t\t\t\t\t\t\t Recomendaciones:<\/strong><\/p>\n Casos de uso *:<\/strong><\/p>\n *Para contar con estas detecciones el cliente requiere tener servicios de SOC contratados.<\/em><\/p>\n Para m\u00e1s informaci\u00f3n puede consultar las siguientes fuentes asociadas a la noticia:<\/strong><\/p>\n En un comunicado conjunto de la Agencia de Seguridad Nacional (NSA), la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA), el Bur\u00f3 Federal de Investigaciones (FBI) y el Centro Nacional de Ciberseguridad de Reino Unido (NCSC) reportaron que el grupo de hacking conocido como Sandworm est\u00e1 empleando una nueva y peligrosa variante de malware. Identificado […]<\/p>\n","protected":false},"author":2,"featured_media":5720,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"_links":{"self":[{"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/posts\/7178"}],"collection":[{"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/comments?post=7178"}],"version-history":[{"count":0,"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/posts\/7178\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/media\/5720"}],"wp:attachment":[{"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/media?parent=7178"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/categories?post=7178"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/tags?post=7178"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}![\"\"](\"https:\/\/etek.com\/es\/wp-content\/uploads\/2022\/02\/Entidades-de-seguridad-advierten-de-nuevo-y-peligroso-malware-1.jpg\")
![\"\"](\"https:\/\/etek.com\/es\/wp-content\/uploads\/2022\/02\/Entidades-de-seguridad-advierten-de-nuevo-y-peligroso-malware-2.jpg\")
![\"\"](\"https:\/\/etek.com\/es\/wp-content\/uploads\/2022\/02\/Entidades-de-seguridad-advierten-de-nuevo-y-peligroso-malware-3.png\")
<\/p>\n\n
\n
\n