Vulnerabilidad Log4J usada para esparcir Ransomware.

ransomware Nova

Los grupos de Hackers han acudido en masa para aprovechar la vulnerabilidad Log4J, que ha abierto la puerta a más ataques.

Los grupos de ransomware están acudiendo a la exploración de la vulnerabilidad Log4j, la cual ha afectado a empresas de todo el mundo en las últimas semanas, lo que ha abierto la puerta para que los Hackers intenten más ataques en el lado del servidor. 

Resumen de la vulnerabilidad

Log4j es una vulnerabilidad de JavaScript que está presente en millones de sistemas alrededor del mundo, la cual se descubrió a principios de este mes, esta ha creado las condiciones perfectas para que los grupos de ransomware ataquen. La omnipresencia de Log4J como un componente básico de tantos productos de software, combinada con la dificultad de parchear la vulnerabilidad, hace que este sea un problema crítico que abordar para muchas organizaciones.

Los hackers aprovechan la vulnerabilidad de esta forma

Log4j empieza a ser responsable para iniciar propagación de Ransomware, un ejemplo de ello es que esta vulnerabilidad es la responsable de revivir una cepa de ransomware que no ha estado tan activa desde el 2020. TellYouThePass no se ha visto desde julio de 2020, pero ahora ha regresado y ha sido una de las amenazas de ransomware más activas que se aprovecha de Log4J. “Hemos visto específicamente a los actores de amenazas que utilizan Log4J para intentar instalar una versión anterior de TellYouThePass”, explica Sean Gallagher, investigador de amenazas de la empresa de seguridad Sophos. “En los casos en los que hemos detectado estos intentos, se han detenido. TellYouThePass tiene versiones de Windows y Linux, y muchos de los intentos que hemos visto se han dirigido a servidores basados ​​en la nube en AWS y Google Cloud”.

Recomendación

La solución Workload Security (Deep Security) de Trend Micro, cuenta con módulos para la identificación y detección de ambos tipos de ataques. Esta herramienta cuenta con un motor de Anti-Malware, el cual no se basa solamente en patrones, si no que ya cuenta con la identificación mediante heurística. Con Predictive Machine Learning nos apoya a la identificación de Ransomware mutado o variantes conocidas, así mismo con Behavior Monitoring identifica estas amenazas mediante el comportamiento que realiza la amenaza al ejecutarse, lo cual identifica Ransomware no tan conocido, dirigido o de 0-day.

La solución cuenta con un módulo HIPS (Host Intrusion Prevention System), el cual mediante reglas (Creadas por Trend Micro o manualmente) parchea virtualmente el servidor, lo cual nos apoya a que la explotación de ciertas vulnerabilidades no sea satisfactoria. En el caso de la vulnerabilidad Log4J ya se cuentan con un par de reglas para ser mitigada.

Te invitamos a seguirnos en nuestras redes sociales Instagram, Facebook y LinkedIn para encontrar éstas y demás soluciones que NOVA ofrece para mantener tu infraestructura de red segura y libre de ciber amenazas.

Consulta las fuentes de este artículo aquí:

#Novainforma

¿Por qué los parches tardan tanto el salir?

amenazas de día 0

Continuando con nuestra investigación sobre las amenazas de día 0, hoy trataremos uno de los temas más curiosos sobre el tópico, y es que aunque ya sabemos qué son y por qué son tan peligrosas estas amenazas, es difícil hacerse una idea de cómo los desarrolladores corrigen estos problemas desconocidos.

Detectando amenazas de día 0

Cuanto más tiempo pase una amenaza de día 0 sin ser detectada, más posibilidades hay de que los hackers las aprovechen y hagan múltiples ataques, la realidad es que es muy complicado detectar estas amenazas, pero la forma de hacerlo es la siguiente:

  • Análisis de comportamiento: Muchas veces se intenta detectar amenazas siguiendo patrones de comportamiento de ataques anteriores, si se detectan comportamientos extraños puede significar que está sucediendo un ataque.
  • Estadística: el volumen de flujo de datos dentro de una organización suele ser similar entre periodos, un cambio de este volumen podría ser una señal de ataque, también se sabe que los ataques suelen ser lanzados después de las actualizaciones importantes de seguridad, esta es otra variable que se tiene en cuenta para la detección.
  • Ataques previos: los desarrolladores miran vulnerabilidades aprovechadas anteriormente que podrían volver a aparecer en otro momento, así se preparan para posibles ataques futuros.

Aún con todas estas medidas de prevención, los ataques de día 0 suelen ser vulnerabilidades que nunca antes se habían visto, cuando pasan estos filtros la única manera de defenderse de ellas es corregir la vulnerabilidad hasta que ya fue usada en un ataque, el tema es que los desarrolladores probablemente lanzarán el parche hasta su siguiente actualización, por ello es que los ataques son más comunes después de estas actualizaciones, así los delincuentes tienen más tiempo para explotar la vulnerabilidad.

Muchas veces las herramientas de protección contra malware, hacking y diversas amenazas de internet brindan soluciones a estas amenazas antes que los desarrolladores, por ello es importante contar con una buena estrategia de ciberseguridad en todos los niveles, si quieres saber más de cómo crear tu propia estrategia de ciberseguridad para tu organización contáctanos.

No olvides seguirnos en Instagram, Facebook y LinkedIn para más contenido de ciberseguridad y tecnologías de la información, estamos seguros de que no querrás perdértelo.

#NovaInforma

¿Qué es la vulnerabilidad Log4j y cómo puedo protegerme?

vulnerabilidad Log4j

En días recientes, la vulnerabilidad Log4j ha causado revuelo por todo internet, debido a la relativa facilidad para los atacantes de esta vulnerabilidad. Su aprovechamiento puede generar un caos en nuestra infraestructura. Afecta a Apache Log4j, que es una biblioteca de código abierto muy utilizada por diferentes desarrolladores Java, cuyo objetivo es mantener un registro de diferentes actividades en las aplicaciones.

Esta vulnerabilidad permite introducir código activo de manera remota en el proceso de registro, el cual ejecuta un comando para darle el control al atacante. No se han detectado incidentes graves como resultado de esto, sin embargo, se ha detectado un considerable aumento de piratas informáticos que intentan aprovechar este fallo para el espionaje.

Jen Easterly, directora de la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA, por sus siglas en inglés) del Departamento de Seguridad Nacional de Estados Unidos, lo calificó como “uno de los fallos más graves” que ha visto en su carrera. Compañías del calibre de IBM, Apple, Cisco, Google y Amazon ejecutan el software, por lo que todos sus servicios, portales web y dispositivos pueden estar expuestos alrededor del mundo.

Prevención.

Es por esta razón que todos debemos prevenirnos de cualquier posible ataque con medidas de acción, como es factible con las soluciones de Palo Alto Networks, que ofrecen protección contra la explotación de este agujero de seguridad. Los Firewalls Strata de la marca o Prisma Access pueden bloquear automáticamente las sesiones relacionadas con esta vulnerabilidad mediante identificación de amenazas. Además, Log4j requiere acceso al código alojado externamente, por lo que su filtrado avanzado de URL supervisa y bloquea constantemente dominios y sitios web maliciosos nuevos, desconocidos y conocidos para bloquear esas conexiones externas inseguras.

Debido a la naturaleza de lo anteriormente expuesto, queda claro que es importante proteger nuestra infraestructura con soluciones efectivas para evitar pérdida o robo de información, pues la solución y parcheo puede tomar mucho tiempo, según informa Apache. Tomar medidas por nuestra parte es la mejor forma de protegernos.

Te invitamos a seguirnos en nuestras redes sociales Instagram, Facebook y LinkedIn para encontrar éstas y demás soluciones que NOVA ofrece para mantener tu infraestructura de red segura y libre de ciber amenazas.

Consulta las fuentes de este artículo aquí:

#NovaInforma

Amenazas de día 0

amenaza de día 0

Debido a la aparición de la reciente vulnerabilidad Apache Log4j, es clara la tendencia de este tipo de ataques, por ello comenzamos una investigación profunda en donde detallamos qué es un ataque de día 0 y te hablamos de cómo defenderte de estas amenazas, ahora queremos contestar algunas preguntas comunes.

¿Por qué se llaman amenazas de día cero?

El hecho de aprovechar una vulnerabilidad de software que los mismos desarrolladores no conocen en el momento del ataque, es lo que da el nombre a estas amenazas, los desarrolladores tienen 0 días para corregir el fallo para evitar que la amenaza se propague y sea aprovechada de forma masiva.

Crear un parche de vulnerabilidades de este tipo no es tarea fácil, normalmente los desarrolladores despliegan actualizaciones una vez al mes, lo que vuelve vulnerable a las organizaciones por periodos de tiempo largos.

¿Estos ataques son peligrosos?

La respuesta corta es sí. Y el motivo principal es que no existe un método de detener la amenaza en principio hasta que se publique un parche, como vimos en el punto anterior esto puede llevar tiempo. Otro punto clave es que las organizaciones no siempre actualizan su software apenas se publiquen los parches ampliando aún más el tiempo de vulnerabilidad.

Estos puntos son aprovechados por los ciberdelincuentes quienes constantemente atacan al mayor número de personas mientras se encuentra una solución al problema comprometiendo los datos de estas.

Es importante tener una estrategia de ciberseguridad sólida con herramientas de protección contra malware, hacking y diversas amenazas de internet si tienes alguna duda contáctanos.

No olvides seguirnos en Instagram, Facebook y LinkedIn para más contenido de ciberseguridad y tecnologías de la información, estamos seguros de que no querrás perdértelo.

#NovaInforma

Resurge troyano bancario EMOTET

troyano Nova

Con el paso de los años, las tácticas y técnicas que se emplean para infectar máquinas con malware han ido evolucionando, los actores de amenaza cada vez emplean mejores herramientas para la distribución de todo tipo de malware, desde un virus o gusano, hasta el temido ransomware esto siempre con un fin lucrativo.

En esta ocasión, la principal novedad es el resurgimiento del troyano Emotet, el cual, después de 7 años, reaparece para infectar endpoints y servidores con la finalidad de robar información sensible de los usuarios. Este malware se propaga por medio de campañas de spam, en dichos correos vienen adjuntos documentos, archivos comprimidos y/o URLs, y por medio de ingeniería social con algún tema financiero relacionado, persuaden a los usuarios a abrir esos archivos adjuntos.

El modo en el que opera es el siguiente: un correo spam con adjuntos maliciosos llega al buzón de un usuario, éste sin tener cuidado de validar la procedencia de dicho correo, abre los adjuntos. Una vez hecho eso, se ejecuta una macro en segundo plano a través de PowerShell que descarga el malware Emotet desde un sitio web comprometido, éste se ejecuta y comienza a obtener información del usuario, del sistema, credenciales de acceso, etc. La información robada es enviada a servidores C2 (Command and Control) del atacante donde éste la utiliza con el fin de obtener un beneficio económico.

Lo que lo convierte a Emotet en una de las ciber amenazas más grandes de la historia es que emplea el modelo MaaS (Malware as a Service) para alquilar las máquinas infectada a demás grupos o actores maliciosos para infectarlas con más malware como el ransomware.

Recomendación

Afortunadamente, las soluciones de Tren Micro que ofrece NOVA como Apex One, Deep Security, Deep Discovery Inspector, etc. ya cuentan con los patrones para detectar Emotet en todas sus variantes y versiones a través de módulos como Predictive Machine Learning o Behavior Monitoring. Aunado a ello, se recomienda concientizar a los empleados a no abrir cualquier email o adjunto si no se reconoce su procedencia.

Te invitamos a seguirnos en nuestras redes sociales Instagram, Facebook y LinkedIn para encontrar éstas y demás soluciones que NOVA ofrece para mantener tu infraestructura de red segura y libre de ciber amenazas.

#NovaInforma

Amenazas de “Día Cero”

ciberataque día 0

A principios de mes publicamos un artículo sobre un ataque de día 0 a Windows 11, el fin de semana pasado anunciamos una alerta por la vulnerabilidad de día 0 Apache Log4j, es clara la tendencia de este tipo de ataques y notamos que nuestra audiencia tiene muchas dudas y opiniones sobre el tema, por ello en Nova decidimos dedicar algunos artículos a este tópico y presentar nuestra investigación a aquellos que la necesiten. 

¿Qué son las amenazas de día cero?

Aquellos fallos de seguridad nuevos que son explotados antes de que los proveedores de seguridad los noten, por tanto, no existe protección específica para combatirlos. Los desarrolladores descubren una amenaza de día cero únicamente después de un ataque, por ello tienen cero días de advertencia para crear un parche.

Si un hacker identifica una vulnerabilidad de software, empieza a trabajar para aprovecharla, aquí empieza una carrera, ¿podrá hacerlo antes de que los desarrolladores de software la detecten también y creen una solución?

Estos programas maliciosos aprovechan la vulnerabilidad de sistemas y aplicaciones para sus ataques hasta que se identifica y los desarrolladores crean un parche para corregir la vulnerabilidad, pero, la publicación de estos parches lleva algún tiempo y los sistemas están en peligro mientras no se apliquen estas correcciones, muchas veces incluso después de la publicación de parches, si el área de seguridad de TI no despliega los parches en su red, el riesgo sigue vigente.

¿Qué hacer para evitar este tipo de amenazas?

Se recomienda crear una estrategia de ciberseguridad robusta y mantener especial atención a las alertas de amenazas de día cero, la mejor protección se consigue desde varios puntos, algunos de los más importantes son:

Firewall: Estas soluciones funcionan como filtros para permitir solo el tráfico necesario de información, manteniendo al mínimo el peligro de amenazas

Correcta gestión del inventario de activos de TI: Es clave tener visibilidad de todo el parque informático para poder mantener actualizados los parches que los proveedores facilitan, al mismo tiempo, eliminar del sistema aplicaciones obsoletas que muchas veces son el origen de ataques.

Seguridad por capas: Implementar una estrategia integral de seguridad de la información permite tener controles definidos, el concepto de múltiples capas argumenta que es mejor colocar varias capas de defensa consecutivas en lugar de una línea única muy fuerte.

El modelo de seguridad por capas funciona de la siguiente manera:

 1. Directivas, procedimientos y concienciación

  • Orientada a las personas:
    • Políticas
    • Procedimientos
    • Campañas de concientización
    • Cultura de Seguridad Informática

2. Perímetro

  • Orientada a proteger la red interna de ataques externos:
    • Firewall
    • Data Loss Prevention (DLP)
    • Intrusion Prevention System (IPS)
    • Distributed Denial of Service (DDoS)
    • Wireless Security
    • Virtual Private Network (VPN)

3. Red Interna

  • Orientada a proteger la red interna de ataques internos:
    • Virtual LAN (VLAN)
    • Network Access Control (NAC)
    • Access Control List (ACL)
    • Secure Socket Layer (SSL)
    • Network Intrusion Detection System (NIDS)

4. Host

  • Orientada a proteger los dispositivos de la red interna:
    • Desktop Management
    • Patch Management

5. Aplicación

  • Orientada a proteger las aplicaciones:
    • Desarrollo Seguro de Aplicaciones
    • Web Application Firewall
    • Identity and Access Management (IAM)
    • Demilitarized Zone (DMZ)
    • Virtual LAN (VLAN)
    • Patch Management

6. Datos

  • Orientada a proteger los datos:
    • Data Loss Prevention (DLP)
    • Cifrado de la Información
    • Respaldo / Réplica de Información
    • Disaster Recovery Plan (DRP)
    • Data Access Audit

Aunque existen muchas opciones en cada capa, tu estrategia de ciberseguridad debe ajustarse a las necesidades de tu organización, para más información Contáctanos

No olvides seguirnos en Instagram, Facebook y LinkedIn para más contenido de ciberseguridad y tecnologías de la información, estamos seguros de que no querrás perdértelo.

Consulta las fuentes de este artículo aquí:

#NovaInforma

Vulnerabilidad de Día-0 Apache Log4j Remote Code Execution Vulnerability

alerta log4j

El 9 de diciembre de 2021, se hizo pública una vulnerabilidad crítica de día-0 que afecta a múltiples versiones de una biblioteca de registro Apache Log4j 2 comúnmente usada en aplicaciones Web, y que al ser explotada, podría resultar en la ejecución remota de código (RCE), Como toda vulnerabilidad expuesta de ejecución remota de código, puede estar ligada a diversos ataques de diversos tipos como coinminers, cryptojacking y también podría resultar en ataques de ransomware.

A esta vulnerabilidad se le identifica como CVE-2021-44228 y también se le conoce en el medio como “Log4Shell”.

Las versiones de la biblioteca afectadas son las versiones de Apache Log4j 2.x menores o iguales a 2.15.0-rc1

Software Afectado

Un número significativo de aplicaciones basadas en Java utilizan log4j como su utilidad de registro y son vulnerables a este CVE. Se tiene conocimiento que al menos el siguiente software puede verse afectado:

  • Apache Struts
  • Apache Solr
  • Apache Druid
  • Apache Flink
  • ElasticSearch
  • Flume
  • Apache Dubbo
  • Logstash
  • Kafka
  • Spring-Boot-starter-log4j2

Fabricantes como Trend Micro y Palo Alto Networks han publicado las reglas para su actualización automáticas principalmente del módulo IPS que pueden contener y otros módulos que pueden registrar esta clase de ataques para fines de detección y respuesta.

Reglas Trend Micro Cloud One – Workload Security and Deep Security IPS

  • Rule 1011242 – Log4j Remote Code Execution Vulnerability (CVE-2021-44228)
  • Rule 1005177 – Restrict Java Bytecode File (Jar/Class) Download
  • Rule 1008610 – Block Object-Graph Navigation Language (OGNL) Expressions Initiation In Apache Struts HTTP Request

https://success.trendmicro.com/solution/000289940

Los firewalls con una suscripción de seguridad de Prevención de amenazas pueden bloquear automáticamente las sesiones relacionadas con esta vulnerabilidad mediante el ID de amenaza 91991 (lanzado inicialmente con la actualización de contenido de aplicaciones y amenazas versión 8498 y mejorado con la versión 8499).

https://unit42.paloaltonetworks.com/apache-log4j-vulnerability-cve-2021-44228/

No olvides seguirnos en Instagram, Facebook y LinkedIn para más contenido de ciberseguridad y tecnologías de la información, estamos seguros de que no querrás perdértelo.

#AlertaDeSeguridad #Nova

Panasonic reconoce ser víctima de un hackeo desde hace casi medio año.

hacker attack

Actualmente la empresa se encuentra en investigaciones para saber si los datos robados han sido expuestos y tratar de descubrir a los autores del ciberataque.

La situación

Panasonic ha admitido recientemente que su red corporativa fue comprometida por un acceso no autorizado en noviembre, sin embargo, aunque el comunicado fue publicado el 11 de noviembre, el ataque existe desde el 22 de junio, por aproximadamente 5 meses los atacantes pudieron acceder a los datos de sus servidores.

Aunque ya se han tomado cartas en el asunto y la empresa implementó medidas de seguridad para evitar el acceso externo a su red, todavía no hay un estimado real de qué tanta información fue robada.

Panasonic está trabajando con expertos en ciberseguridad para investigar si la brecha de información expuso a consumidores, datos personales o información sobre infraestructuras sociales.

La empresa también está llevando a cabo una investigación interna para intentar descubrir a quienes han sido los autores del ataque.

La empresa ha expresado una disculpa por los inconvenientes que pudiesen suscitarse tras este incidente de seguridad.

Aun así, no podemos pasar por alto que la empresa había sufrido un ciberataque de Ransomware hace menos de un año. En el se filtró información personal, financiera y direcciones de correo electrónico. Es posible que el acceso ilegal a la red sea consecuencia de este ataque.

Recomendación:

Para evitar ataques de cualquier tipo, incluyendo el ransomware lo más importante es contar con una estrategia de ciberseguridad preventiva, de esta forma minimizamos el impacto en nuestra infraestructura, debemos tener visibilidad de todo el parque informático, así como planes de acción para reaccionar en caso de un ataque, la forma de prevenir incidencias es manteniendo los equipos siempre actualizados.

Herramientas como Proactivanet pueden ayudar a las organizaciones a conocer por completo toda su infraestructura y el estado de sus equipos, cuales tienen antivirus, monitoreo de sus parches de seguridad y otras cuestiones clave para mantener una infraestructura segura.

Contáctanos si necesitas más información.

No olvides seguirnos en Instagram, Facebook y LinkedIn para más contenido de ciberseguridad y tecnologías de la información, estamos seguros de que no querrás perdértelo.

Consulta las fuentes de este artículo aquí:

#NovaInforma

La protección contra ciberataques de las grandes empresas es insuficiente.

ciberseguridad

Informes publicados por empresas multinacionales de consultoría estratégica, revelan que todavía existen usuarios corporativos que no han implementado medidas de protección para sus datos y son muy pocos los que cuentan con un sistema de defensa en capas.

La mayoría de las empresas creen que sus infraestructuras son seguras, aunque los datos revelan que los ciberataques siguen aumentando año con año, en 2020 el número de ciberataques creció un 31% en comparación al año anterior y se proyecta que en 2021 sea aún más grande.

Los datos también indican que para el 81% de los directivos el costo de prevención de ataques cibernéticos es muy alto, pero al mismo tiempo el 82% de los directivos encuestados han aumentado sus presupuestos para ciberseguridad.

La situación

Los datos fueron obtenidos de más de 4500 directores ejecutivos abarcando 23 industrias de 18 países, la realidad es que más de la mitad de las grandes empresas no están preparadas para prevenir ciberataques, no cuentan con protección adecuada en su infraestructura y la velocidad en que pueden detectar y eliminar vulnerabilidades es muy lenta.

Recomendación

Para evitar ser víctima de ataques cibernéticos recomendamos contar con profesionales adecuados y crear una estrategia de ciberseguridad que incluya tecnologías que garanticen la seguridad de los datos por capas, teniendo en cuenta también la nube, ya que existen herramientas que no solo protegen la información, sino que también pueden ayudarte a reducir costos en seguridad y facilitar la operación de tu infraestructura.
Si estás interesado en el tema contáctanos, podemos apoyarte en la definición de esa estrategia.

No olvides seguirnos en Instagram, Facebook y LinkedIn para más contenido de ciberseguridad y tecnologías de la información, estamos seguros de que no querrás perdértelo.

Consulta las fuentes de este artículo aquí:

#NovaInforma

El primer ciberataque a Windows 11 pone en peligro el resto de versiones del SO

ciberataque windows 11

La nueva versión del famoso sistema operativo ha traído consigo un ciberataque que podría afectar a todas las versiones anteriores de windows

Características del ataque

Otorga a los hackers privilegios de administrador en todas las versiones del sistema operativo de windows

Se trata de un problema de seguridad que permite atacar sistemas, lo peligroso es que el ataque está catalogado como “Zero Day” significa que fue descubierto por los criminales antes que por los mismos desarrolladores y está siendo explotado, de momento no hay una solución de parte de Microsoft.

Detalles del exploit

Consiste en una prueba de concepto, algunos especialistas creen que con algunos ajustes podrían llevarse a cabo ataques de mayor alcance, aunque de momento el volumen es bajo, también se detectaron muestras recientes de malware en donde se identificó que ya se está intentando aprovechar el error por personas que trabajan el código de prueba de concepto con el fin de aprovecharlo en campañas futuras.

Esta vulnerabilidad aprovecha un error de Windows Intaller “CVE-2021-41379” y podría poner en riesgo a millones de sistemas si se propaga, aunque Microsoft calificó la vulnerabilidad como de gravedad media argumentando que no se trata de un exploit remoto y que es difícil su propagación ya que se requiere acceso físico a los dispositivos para aprovecharlo.

Recomendación

Es muy difícil protegerse de los ataques de día 0 ya que no existen parches para ellos, sin embargo, es posible tomar medidas para prevenir y mitigar este tipo de ataques de su infraestructura, con Tanium puede detectar ataques de día 0 en aplicaciones instaladas con informes de proveedores, así como tener visibilidad para encontrar señales resultantes de un ataque o intento de ataque de día 0.

También puede tomar medidas con los diferentes módulos según el caso, por ejemplo:

  • Comply puede ayudar a identificar dónde existen vulnerabilidades una vez conocidas.
  • Una vez que haya un parche disponible, Tanium Patch puede ayudarlo a desplegar el parche en todo su parque informático rápida y eficazmente.
  • Tanium Deploy puede eliminar versiones vulnerables o actualizar aplicaciones a una versión no vulnerable.

Si quieres saber más de TANIUM contáctanos.

No olvides seguirnos en Instagram, Facebook y LinkedIn para más contenido de ciberseguridad y tecnologías de la información, estamos seguros de que no querrás perdértelo.

Consulta la fuente de este artículo aquí.

#NovaInforma