t21.com.mx Open in urlscan Pro
18.233.84.83  Public Scan

Form analysis
1 forms found in the DOM

GET /index.php/search/node

<form action="/index.php/search/node" method="get" id="search-block-form" accept-charset="UTF-8" class="search-form search-block-form">
  <div class="js-form-item form-item js-form-type-search form-item-keys js-form-item-keys form-no-label">
    <label for="edit-keys" class="visually-hidden">Buscar</label>
    <input title="Escriba lo que quiere buscar." data-drupal-selector="edit-keys" type="search" id="edit-keys" name="keys" value="" size="15" maxlength="128" class="form-search">
  </div>
  <div data-drupal-selector="edit-actions" class="form-actions js-form-wrapper form-wrapper" id="edit-actions"><input class="search-form__submit button js-form-submit form-submit" data-drupal-selector="edit-submit" type="submit" id="edit-submit"
      value="Buscar">
  </div>
</form>

Text Content

NAVEGACIÓN PRINCIPAL

 * Inicio
 * AutomotrIz
 * Aéreo
 * Ferroviario
 * Logística
 * Marítimo
 * Tecnología
 * Terrestre
 * Economía
 * Opinión


BUSCAR

Buscar








SOBRESCRIBIR ENLACES DE AYUDA A LA NAVEGACIÓN

 1. Inicio  / 
 2. Tecnología  / 
 3. 
 4. HudsonAnalytix alerta amenaza marítima cibernética por caso SolarWinds

Tecnología
16-Dic-2020Redacción T21
Puertos
transporte marítimo
HudsonAnalytix
ciberseguridad
SolarWinds


HUDSONANALYTIX ALERTA AMENAZA MARÍTIMA CIBERNÉTICA POR CASO SOLARWINDS



En días recientes se dio a conocer el ataque cibernético a gran escala llevado a
cabo en perjuicio de la empresa SolarWinds y sus clientes. A través de un
software malicioso que afecta el software de monitoreo y gestión de sistemas
informáticos de SolarWinds, un grupo de atacantes potencialmente logró acceder a
las redes e información sensible de más de 30,000 organizaciones que utilizan
los servicios Orion de dicha empresa.

De acuerdo con un análisis de la firma estadounidense HudsonAnalytix, se trata
de un ciberataque “bastante sofisticado y extenso que puede traer consecuencias
muy graves para todas las organizaciones víctimas”, donde figuran empresas del
sector marítimo-portuario.

Los actores de ciber amenazas han conseguido acceso a numerosas entidades
privadas y públicas alrededor del mundo. Estos accedieron de manera exitosa a
sus víctimas a través de actualizaciones con virus de tipo troyanos al software
de IT manejo y monitoreo de SolarWinds Orion. Puede ser que sus esfuerzos hayan
iniciado desde la primavera 2020 y persisten hoy en día.



> “Las actividades posteriores a esta brecha en la cadena de suministro incluyen
> robo de información y movimientos laterales. Estos actores de amenazas son
> altamente habilidosos y la operación fue llevada a cabo con un nivel de
> seguridad operacional considerable”, sostuvo la empresa.

Backdoor de SUNBURST

SolarWinds.Orion.Core.BusinessLayer.dll es un componente digitalmente firmado
del marco del software Orion que contiene una puerta trasera (backdoor) que se
comunica vía HTTP con servidores de terceras partes. Luego de un periodo de
inactividad inicial de hasta 2 semanas, recupera y ejecuta comandos llamados
“Trabajos” (Jobs), que incluyen la habilidad de transferir y ejecutar archivos,
perfilar el sistema, reiniciar la máquina y desactivar los servicios del
sistema.

El malware esconde su tráfico de red como el protocolo llamado Programa de
Mejora Orion (Orion Improvement Programa OIP, por sus siglas en inglés) y
almacena los resultados de su investigación dentro de configuraciones de
archivos de plugins legítimos, lo que le permite mezclarse con actividad
legítima de SolarWinds.

La puerta trasera (backdoor) utiliza múltiples listas de filtros de bloqueo
ofuscadas para identificar las herramientas forenses y de anti-virus que estén
siendo utilizadas, así como los servicios y drivers.

El archivo de actualización con que incluye el troyano es un Parche estándar del
Windows Installer que incluye recursos comprimidos asociados con la
actualización, incluyendo el componente con el troyano
SolarWinds.Orion.Core.BusinessLayer.dll. Una vez que se instale la
actualización, el DLL malicioso será cargado por el
SolarWinds.BusinessLayerHost.exe o SolarWinds.BusinessLayerHostx64.exe legítimo
(dependiendo de la configuración del sistema).

Luego de un periodo de inactividad de hasta 2 semanas, el malware intentará
resolver el subdominio de avsvmcloud[.]com. La respuesta DNS devolverá un record
CNAME que apunta a un dominio de Comando y Control (C2). El tráfico C2 a los
dominios maliciosos está diseñado para imitar las comunicaciones normales API de
SolarWinds. La lista de las contramedidas conocidas para el SUNBURST está
disponible en el sitio web de FireEye’s GitHub en:
https://github.com/fireeye/sunburst_countermeasures/blob/main/indicator…

Recomendaciones

De acuerdo con HudsonAnalytix, primero se debe actualizar la plataforma Orion
lanzada 2020.2.1 HF 1, actualmente disponible vía el Portal de Clientes de
SolarWinds.

En caso de que la organización no pueda seguir las recomendaciones de
SolarWinds, las siguientes técnicas de mitigación inmediatas pueden ser
ejecutadas como primeros pasos para enfrentar el riesgo del software de
SolarWinds impactado por el troyano en el entorno.

Si se descubre alguna actividad del atacante, recomienda llevar a cabo una
investigación profunda y diseñar y ejecutar una estrategia de reparación
motivada por los hallazgos de la investigación y los detalles del entorno
afectado.

Asimismo, debe asegurarse que los servidores de SolarWinds estén
aislados/contenidos hasta que se lleve a cabo una investigación y revisión
posterior. Esto debe incluir el bloqueo de todos los egresos a través de
Internet hechos por los servidores de SolarWinds.

Si la infraestructura de SolarWinds no está aislada, considerar llevar a cabo
los siguientes pasos:

- Restrinja el ámbito de conectividad de los puntos finales de los servidores de
SolarWinds, especialmente los que serían considerados Nivel 0/activos tipo joyas
principales.
- Restrinja el ámbito de cuentas que tienen privilegios de administrador local
en los servidores de SolarWinds.
- Bloquee el egreso de Internet de los servidores u otros puntos finales que
tengan el software de SolarWinds.

También debe considerarse (como mínimo) cambiar las contraseñas de las cuentas
que tengan acceso a los servidores e infraestructura de SolarWinds. Puede ser
que se requieran medidas de remediación adicionales, basadas en las
investigaciones o revisiones posteriores.

Si se utiliza SolarWinds para manejo de infraestructura de redes, considerar
llevar a cabo una revisión de las configuraciones de los dispositivos de red en
búsqueda de modificaciones no autorizadas/inesperadas.

Revisa aquí la programación de: Diálogos Empresariales de Logística (de Grupo
T21)

Comenta y síguenos en Twitter: @GrupoT21

Consulta la edición electrónica de la revista T21 de diciembre en este link
Suscríbete aquí al boletín de noticias de T21 Solicita tu suscripción a la
revista impresa en: suscripciones@t21.com.mx



RELACIONADOS


MÉXICO SUPERARÁ LA BARRERA DE LOS 8 MILLONES DE TEU EN 2022

Nov 01



CABOTAJE EN MÉXICO SUPERA NIVELES PREVIOS A LA PANDEMIA

Oct 26



CARGA PORTUARIA ACUMULA AVANCE DE 3.2% A JULIO

Aug 25



PUERTOS MEXICANOS MUEVEN 8.3% MÁS CONTENEDORES A JULIO DE 2022

Aug 24



AAPA LATINO DEBATIRÁ SOBRE FINANCIAMIENTO DE OBRAS PORTUARIAS

Aug 23



PROYECTO DE CABOTAJE Y TMCD DETONA INVERSIÓN EN PUERTOS MEXICANOS

Aug 19



MARISA ABARCA ASUME LA DIRECCIÓN GENERAL DE PUERTOS EN LA CGPMM

Aug 18



UNCTAD LANZA SITIO WEB PARA REFORZAR LA RESILIENCIA DEL TRANSPORTE MARÍTIMO

Aug 16



CANAL DE PANAMÁ, 108 AÑOS BENEFICIANDO AL COMERCIO INTERNACIONAL

Aug 15



TRANSFORMACIÓN DIGITAL, ENERGÍAS VERDES E INVERSIÓN, CLAVES EN AAPA LATINO 2022

Aug 11

 * Cargar más


SÍGUENOS

FacebookLike
TwitterFollow
LinkedinSubscribe
YoutubeSubscribe


ÚLTIMOS ARTÍCULOS

 * 01
   TMS planea capacitar en 2023 a cuatro generaciones de operadoras
 * 02
   Ampliación del Puente Internacional Pharr va viento en popa  
 * 03
   SIG refuerza presencia en Norteamérica
 * 04
   Usuarios del transporte agrupados en ANTP, incrementan uso del intermodal
 * 05
   GS1 México impulsa la visibilidad en la cadena de suministro
 * 06
   Hutchison Ports ICAVE introduce sistema portuario contra climas adversos


CONTACTO GRUPO T21

Líder en noticias del Sector Transporte y Logística, Aéreo, Marítimo, Terrestre
y Ferroviario, en México y Latinoamérica.

 * Narvarte Oriente, Benito Juárez, 03020 CDMX
 * (+52) 55 5682 7079
 * redaccion@t21.com.mx


SECCIONES

 * AutomotrIz
 * Aéreo
 * Ferroviario
 * Logística
 * Marítimo
 * Terrestre
 * Tecnología


EMPRESA Y SERVICIOS

 * Directorio
 * Newsletter
 * Contacto
 * Aviso de privacidad


TWITTER GRUPO T21




© Copyright Grupo Comunicación y Medios S.A. de C.V. 2021. Todos los derechos
reservados.


AddThis Sharing
 * Facebook
 * Twitter
 * LinkedIn
 * Hootsuite
 * Email