{"id":3881,"date":"2024-05-24T07:30:00","date_gmt":"2024-05-24T12:30:00","guid":{"rendered":"https:\/\/www.itechsas.com\/blog\/?p=3881"},"modified":"2024-05-23T21:59:54","modified_gmt":"2024-05-24T02:59:54","slug":"ataques-a-servidores-usando-python-y-bots-de-telegram","status":"publish","type":"post","link":"https:\/\/www.itechsas.com\/blog\/malware\/ataques-a-servidores-usando-python-y-bots-de-telegram\/","title":{"rendered":"Ataques a servidores usando Python y Bots de Telegram"},"content":{"rendered":"\n<p>El laboratorio de ESET analizo un c\u00f3digo malicioso escrito en Python con capacidad de ejecutar criptomineros y exfiltrar informaci\u00f3n mediante un Bot a grupos de Telegram que afecta versiones de Windows server y se focaliza en Latinoam\u00e9rica afectando sectores de salud, hoteles, financieros entre otros.<\/p>\n\n\n\n<p>El c\u00f3digo malicioso identificado como <strong>Python\/PSW.Agent.BHH<\/strong> es usado por cibercriminales para comprometer sistemas que utilizan versiones basado en cualquier versi\u00f3n de Windows Server 2019 o de Windows Server 2016 que no han sido parchados y versiones antiguas (legacy) como Windows Server 2008 y  Windows Server 2012 que ya no reciben actualizaciones de seguridad por parte de Microsoft, lo que representa un alto riesgo para la red de datos, usuarios e informaci\u00f3n de la empresa.<\/p>\n\n\n\n<p>Esta amenaza puede escanear y comprometer otros equipos en la red interna explotando la vulnerabilidad <strong>ZeroLogon<\/strong>, la cual es reconocida de gravedad <strong>critica <\/strong>como <a href=\"https:\/\/www.cve.org\/CVERecord?id=CVE-2020-1472\" target=\"_blank\" rel=\"noreferrer noopener\">CVE-2020-1472<\/a> (puntuaci\u00f3n CVSS de 10, la mas alta), afectando el protocolo Netlogon que permite a los atacantes secuestrar controladores de dominio Windows.<\/p>\n\n\n\n<figure class=\"wp-block-embed is-type-video is-provider-youtube wp-block-embed-youtube wp-embed-aspect-16-9 wp-has-aspect-ratio\"><div class=\"wp-block-embed__wrapper\">\n<iframe title=\"Zerologon\" width=\"650\" height=\"366\" src=\"https:\/\/www.youtube.com\/embed\/6CampD855xI?feature=oembed\" frameborder=\"0\" allow=\"accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture; web-share\" referrerpolicy=\"strict-origin-when-cross-origin\" allowfullscreen><\/iframe>\n<\/div><\/figure>\n\n\n\n<p>El c\u00f3digo malicioso programado en Python, posee caracter\u00edsticas de <strong>downloader <\/strong>(Descargar malware en el equipo comprometido) e <strong>infostealer <\/strong>(malware que tienen capacidad de robar informaci\u00f3n), adem\u00e1s es utilizado para realizar capturas de pantalla de la m\u00e1quina de la v\u00edctima y enviarlas a los cibercriminales mediante un Bot hacia un canal de Telegram. <\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><a href=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:auto\/h:auto\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2024\/05\/image.png\"><img data-opt-id=752055896  fetchpriority=\"high\" decoding=\"async\" width=\"627\" height=\"310\" src=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:auto\/h:auto\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2024\/05\/image.png\" alt=\"\" class=\"wp-image-3884\" srcset=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:627\/h:310\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2024\/05\/image.png 627w, https:\/\/ml4lvzevoq9y.i.optimole.com\/w:300\/h:148\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2024\/05\/image.png 300w\" sizes=\"(max-width: 627px) 100vw, 627px\" \/><\/a><\/figure>\n\n\n\n<p>Otra de sus funcionalidades es leer la informaci\u00f3n contenida en el portapapeles de la v\u00edctima con el fin de detectar datos de una billetera virtual (wallet) de la v\u00edctima para luego modificarla por una perteneciente a los cibercriminales.<\/p>\n\n\n\n<p>Los accesos, en esta ocasi\u00f3n, fueron utilizados para ejecutar criptomineros o c\u00f3digos maliciosos que reemplazan las billeteras electr\u00f3nicas de las v\u00edctimas por unas pertenecientes a los cibercriminales, lo que deja abierta la posibilidad de sufrir ataques m\u00e1s complejos.<\/p>\n\n\n\n<p>En el siguiente diagrama se ilustra el proceso de infecci\u00f3n del c\u00f3digo malicioso, que comienza con el acceso no autorizado a un servidor de Windows y termina con la ejecuci\u00f3n de un archivo malicioso en Python, que descarga y ejecuta otros componentes, como herramientas tipo mimikatz o nmap, as\u00ed como archivos autoextra\u00edbles que finalmente ejecutan criptomineros en la v\u00edctima.\u00a0<\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><a href=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:auto\/h:auto\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2024\/05\/image-1.png\"><img data-opt-id=884620062  fetchpriority=\"high\" decoding=\"async\" width=\"986\" height=\"646\" src=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:auto\/h:auto\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2024\/05\/image-1.png\" alt=\"\" class=\"wp-image-3889\" srcset=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:986\/h:646\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2024\/05\/image-1.png 986w, https:\/\/ml4lvzevoq9y.i.optimole.com\/w:300\/h:197\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2024\/05\/image-1.png 300w, https:\/\/ml4lvzevoq9y.i.optimole.com\/w:768\/h:503\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2024\/05\/image-1.png 768w, https:\/\/ml4lvzevoq9y.i.optimole.com\/w:830\/h:544\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2024\/05\/image-1.png 830w\" sizes=\"(max-width: 650px) 100vw, 650px\" \/><\/a><\/figure>\n\n\n\n<p>Los cibercriminales tienden a seleccionar v\u00edctimas en sectores como la salud, hotelero, construcci\u00f3n o la educaci\u00f3n y, si bien los ataques detectados fueron a nivel global, se han centrado especialmente en Latinoam\u00e9rica, sobre todo en <strong>M\u00e9xico, Argentina, Colombia y Per\u00fa<\/strong>. Seg\u00fan la investigaci\u00f3n, es altamente probable que los cibercriminales obtengan acceso no autorizado a sus v\u00edctimas mediante la explotaci\u00f3n de vulnerabilidades o ataques de fuerza bruta.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Consejos para protegerse<\/h2>\n\n\n\n<p>Dado que hemos visto que esta amenaza se distribuye sobre servidores de Windows y otros equipos que se ubiquen en la misma red, enumeramos distintas recomendaciones para tener en cuenta y evitar ser una posible v\u00edctima:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Mantener los equipos y aplicaciones actualizados a la versi\u00f3n m\u00e1s reciente.<\/li>\n\n\n\n<li>Mantener actualizadas las soluciones de seguridad instaladas en el o los dispositivos.<\/li>\n\n\n\n<li>Realizar un monitoreo de la red buscando anomal\u00edas: \n<ul class=\"wp-block-list\">\n<li>M\u00faltiples intentos de accesos sobre un servicio en particular.<\/li>\n\n\n\n<li>M\u00faltiples intentos de inicio de sesi\u00f3n con un mismo usuario.<\/li>\n<\/ul>\n<\/li>\n\n\n\n<li>Evitar el uso de contrase\u00f1as triviales como: password, p@ssw0rd, etc.<\/li>\n<\/ul>\n\n\n\n<p>En el caso que d\u00e9 haya ciertos equipos que no puedan ser actualizados a la versi\u00f3n m\u00e1s actual de Windows Server, recomendamos asegurarse que la protecci\u00f3n de ataques de red est\u00e1 habilitada en el ESET Server Security (disponible en el producto a partir de versiones 8 en adelante) ya que en versiones antiguas de Windows Server este componente no viene por defecto. Para m\u00e1s informaci\u00f3n de como habilitar esta capa de protecci\u00f3n revisar los\u00a0<a href=\"https:\/\/help.eset.com\/efsw\/11.0\/es-CL\/installation_steps.html?utm_source=welivesecurity.com&amp;utm_medium=referral&amp;utm_campaign=autotagging&amp;utm_content=investigaciones&amp;utm_term=es\" target=\"_blank\" rel=\"noreferrer noopener\">pasos para la instalaci\u00f3n de ESET Server Security<\/a>.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<p><strong>&gt;&gt; M\u00e1s detalles<\/strong>&nbsp;en nuestros canales privados de&nbsp;<mark><strong><a href=\"https:\/\/whatsapp.com\/channel\/0029VZzkzdhIXnltJlXVEA3J\" target=\"_blank\" rel=\"noreferrer noopener\">WhatsApp<\/a>&nbsp;<\/strong>y&nbsp;<a href=\"https:\/\/t.me\/itechsas\/\" target=\"_blank\" rel=\"noreferrer noopener\"><strong>Telegram<\/strong><\/a>.<\/mark><\/p>\n\n\n\n<p><strong>Es muy importante que se identifiquen las vulnerabilidades en los sistemas y aplicaciones antes que sean descubiertas por los actores maliciosos que aprovechan esas debilidades para realizar los ataques en b\u00fasqueda de beneficios econ\u00f3micos.<\/strong><\/p>\n\n\n\n<p><a href=\"https:\/\/www.itechsas.com\/blog\/ciberseguridad\/muchas-empresas-privadas-y-de-gobierno-afectadas-por-ciberataque-de-ransomware-masivo\/\" target=\"_blank\" rel=\"noreferrer noopener\">Muchas empresas privadas y de gobierno afectadas por ciberataque de ransomware masivo<\/a><\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<figure class=\"wp-block-image\"><a href=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:auto\/h:auto\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2024\/04\/image-8.png\"><img data-opt-id=109291328  data-opt-src=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:auto\/h:auto\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2024\/04\/image-8.png\"  decoding=\"async\" width=\"529\" height=\"145\" src=\"data:image/svg+xml,%3Csvg%20viewBox%3D%220%200%20100%%20100%%22%20width%3D%22100%%22%20height%3D%22100%%22%20xmlns%3D%22http%3A%2F%2Fwww.w3.org%2F2000%2Fsvg%22%3E%3Crect%20width%3D%22100%%22%20height%3D%22100%%22%20fill%3D%22transparent%22%2F%3E%3C%2Fsvg%3E\" alt=\"\" class=\"wp-image-3845\" old-srcset=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:529\/h:145\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2024\/04\/image-8.png 529w, https:\/\/ml4lvzevoq9y.i.optimole.com\/w:300\/h:82\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2024\/04\/image-8.png 300w\" \/><\/a><\/figure>\n\n\n\n<p>Recibe un&nbsp;<strong>Diagn\u00f3stico Sin Costo&nbsp;<\/strong>del estado de seguridad de tu aplicaci\u00f3n o sitio web dando clic en el siguiente enlace:<\/p>\n\n\n\n<div class=\"wp-block-buttons is-layout-flex wp-block-buttons-is-layout-flex\">\n<div class=\"wp-block-button\"><a class=\"wp-block-button__link has-vivid-cyan-blue-background-color has-background wp-element-button\" href=\"https:\/\/forms.gle\/5yvxp32NRbNSGQ5W9\">Reciba Diagnostico sin Costo<\/a><\/div>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>El laboratorio de ESET analizo un c\u00f3digo malicioso escrito en Python con capacidad de ejecutar criptomineros y exfiltrar informaci\u00f3n mediante un Bot a grupos de Telegram que afecta versiones de Windows server y se focaliza en Latinoam\u00e9rica afectando sectores de salud, hoteles, financieros entre otros. El c\u00f3digo malicioso identificado como Python\/PSW.Agent.BHH es usado por cibercriminales&hellip;<\/p>\n","protected":false},"author":1,"featured_media":3884,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[436,53,197,440,441,435,438,437,91,439],"class_list":["post-3881","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-malware","tag-bots","tag-ciberataque","tag-codigo-malicios","tag-downloader","tag-infostealer","tag-python","tag-python-psw-agent-bhh","tag-telegram","tag-vulnerabilidad","tag-zerologon"],"_links":{"self":[{"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/posts\/3881","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/comments?post=3881"}],"version-history":[{"count":7,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/posts\/3881\/revisions"}],"predecessor-version":[{"id":3890,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/posts\/3881\/revisions\/3890"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/media\/3884"}],"wp:attachment":[{"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/media?parent=3881"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/categories?post=3881"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/tags?post=3881"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}