Avast cree que CCleaner fue el blanco de ciberespionaje… otra vez

Publicado el 22 octubre 2019 por Hiber @elblogdehiiara

El día de ayer se dio a conocer un comunicado en el blog de Avast sobre la colaboración con agencias de seguridad e industria de ciberseguridad, por las actividades sospechosas en sus redes, ocurrido el 23 de septiembre de 2019. Esto llevó al equipo de seguridad a una investigación inmediata junto con el Servicio de Inteligencia checo, BIS y un equipo forense externo.

Vimos evidencia de actividad en MS ATA / VPN el 1 de octubre, cuando volvimos a examinar una alerta de MS ATA con respecto a la replicación maliciosa de los servicios de directorio a través de una IP interna perteneciente a nuestras direcciones VPN. Esto se clasificó por primera vez como falso positivo. Sin embargo, el usuario cuyas credenciales aparentemente estaban comprometidas no tenía derechos de administrador de dominio. Sin embargo, el atacante pudo obtener derechos de administrador de dominio a través de una extensión de derechos exitosa. La conexión fue a través de una IP alojada en el Reino Unido, y descubrimos que el atacante también usó otros puntos finales a través del mismo proveedor de VPN. Avast

El equipo de seguridad descubrió que desde el 14 de mayo de 2019, el atacante intentó acceder a la red a través de las redes VPN de la compañía.

El 4 de octubre se volvió a registrar nuevamente las actividades sospechosas; los registros se mostraron que el perfil temporal fue utilizado por varias credenciales, por lo creen que fue robado.

El equipo de seguridad cree que CCleaner es el objetivo de los ataques, como lo fue en el 2017.

Como resultado de estos eventos, Avast canceló la versión del 25 de septiembre de CCleaner y comenzó a revisar todas las versiones anteriores en busca de amenazas maliciosas, para verificarlas luego.

Aunque creíamos que CCleaner era el objetivo probable de un ataque a la cadena de suministro, como fue el caso en una violación de CCleaner en 2017, lanzamos una red más amplia en nuestras acciones de remediación.

El 25 de septiembre, detuvimos las próximas versiones de CCleaner y comenzamos a verificar las versiones anteriores de CCleaner y verificamos que no se hubieran realizado modificaciones maliciosas. Como dos medidas preventivas adicionales, primero volvimos a firmar una actualización limpia del producto, la enviamos a los usuarios a través de una actualización automática el 15 de octubre y, en segundo lugar, revocamos el certificado anterior. Después de tomar todas estas precauciones, confiamos en decir que nuestros usuarios de CCleaner están protegidos y no se ven afectados.

Avast restableció todas las credenciales de usuario internas, por describir esto como un «intento extremadamente sofisticado» por parte del atacante y su objetivo. Aunque la compañía no está segura si esto ha sido llevado a cabo por una sola persona o un grupo, la investigación continúa.

Para terminar: ¿Qué piensas de que este tipo de incidentes lo tenga un software de seguridad como lo es Avast y una de las herramientas más populares en Windows? Si ellos no pueden protegerse, qué se espera de que protejan a sus usuarios. No quiero decir que el equipo que desarrolla una herramienta de seguridad esté libre de ataques, pero que los ataques se den muy a menudo, es de considerar si seguir utilizando sus productos. Siempre he dicho cuán importante es tener un antivirus instalado, sin dejar a un lado el sentido común del usuario. Pero, existen usuarios inexpertos que no tienen ni la más mínima idea de lo que está pasando a su alrededor, y esos mismos usuarios confían en este tipo de compañías.

Más información: blog.avast