Trend Micro Incorporated, líder global en ciberseguridad, anunció el descubrimiento de una vulnerabilidad en Microsoft Windows Defender que está siendo explotada activamente por los grupos de ciberamenazas DarkGate y Dark Casino (Water Hydra). Se recomienda a las organizaciones que tomen medidas inmediatas en respuesta a la continua explotación activa de esta vulnerabilidad por parte de los ciberdelincuentes.
Desde el 31 de diciembre de 2023, una vulnerabilidad de día cero identificada como CVE-2024-21412 ha estado en curso, siendo revelada por Zero Day Initiative (ZDI) de Trend Micro a Microsoft el día de ayer. Según la compañía, aquellos clientes y empresas afectadas que implementaron todos los parches virtuales disponibles lograron un ahorro promedio de 1 millón de dólares para sus negocios desde el momento de su detección.
De acuerdo con Kevin Simzer, director de operaciones de Trend Micro: «Las vulnerabilidades de día cero son una forma cada vez más popular para que los actores de amenazas alcancen sus objetivos. Esta es una de las razones por las que invertimos tanto en inteligencia de amenazas, para que podamos mantener a nuestros clientes protegidos meses antes de que se publiquen los parches oficiales de los proveedores. Estamos orgullosos de estar creando un mundo con menos riesgo cibernético». El riesgo crítico radica en la posibilidad de que las vulnerabilidades sean aprovechadas por
ciberdelincuentes maliciosos y dirigidas hacia una amplia gama de industrias u organizaciones.
Actualmente, esta vulnerabilidad está siendo activamente explotada por el grupo APT, impulsado por motivaciones financieras, con el objetivo de comprometer a los operadores de divisas que participan en el mercado de comercio de alto riesgo. Esta situación plantea una amenaza significativa tanto para la integridad de los datos como para la estabilidad financiera de las empresas afectadas.
Específicamente, se utiliza en una sofisticada cadena de ataques de día cero para permitir una omisión de Windows Defender SmartScreen. Los ataques están diseñados para infectar a las víctimas con el troyano de acceso remoto (RAT) DarkMe para posibles robos de datos y ransomware.
Utilizando capas de defensa para mitigar amenazas avanzadas, las capacidades del sistema de prevención de intrusiones (IPS) de Trend Micro entregaron parches virtuales a sus clientes para bloquear completamente la explotación de CVE-2024-21412.
Trend Vision One identifica automáticamente vulnerabilidades críticas y proporciona visibilidad de todos los endpoints afectados y su posible impacto en el riesgo general de una organización. El enfoque proactivo para la gestión de riesgos reduce la necesidad de medidas reactivas de último momento y garantiza que los clientes estén bien preparados para mitigar los riesgos con confianza.
Por el contrario, las organizaciones que dependen únicamente de un enfoque heredado de detección y respuesta de endpoints (EDR) pueden quedar expuestas a la amenaza si sus atacantes utilizan técnicas avanzadas para evitar la detección.
