Roban casi 200 GB de información de código fuente de Smartphones Galaxy de SAMSUNG

Samsung confirmó que fue hackeado, un grupo de hackers robaron el código fuente de dispositivos de la gama Galaxy seguida de información confidencial de la compañía.

La violación a la seguridad fue perpetrada a principios del mes, según los primeros reportes, por lo que Samsung lo ha confirmado oficialmente.

El grupo de hackers conocido como Lapsus$, se atribuye la responsabilidad del ataque, y resulta ser el mismo grupo que hackeó NVIDIA. Se atribuyen robar aproximadamente 200 GB de información, según capturas compartidas por el mismo grupo.

Entre la información robada está el código fuente usado por los dispositivos Galaxy para cifrado y funciones de desbloqueo biométrico, e incluso se habla de datos confidenciales de Qualcomm.

Recomendación

La solución Qualys que está disponible en el portafolio de Nova, brinda a las organizaciones una única solución de TI, seguridad y cumplimiento, ¡desde la prevención hasta la detección y la respuesta! Qualys nos brinda características como inventario de activos, administración de vulnerabilidades, monitoreo continuo, protección de amenazas, indicadores de compromiso, escaneo de aplicaciones web, cumplimiento de políticas, monitoreo de integridad de archivos, evaluaciones de configuraciones de seguridad, seguridad en containers y evaluación de seguridad en la nube.

Te invitamos a seguir las redes sociales de Nova, Instagram, Facebook y LinkedIn para que estés enterado de ésta y más noticias, y como podemos ayudarte a estar protegido a través del amplio portafolio de soluciones en ciberseguridad con el que contamos.

Consulta las referencias para este artículo AQUÍ.

Se detectan correos con el propósito de extorsionar a usuarios para difundir supuestos videos íntimos

Se han detectado correos electrónicos los cuales tienen como objetivo extorsionar a los usuarios para que paguen dinero en bitcoins a cambio de no publicar o difundir supuestas grabaciones intimas. Este tipo de ataques / ciber extorsión son con la finalidad de preocupar al usuario para poder recibir un pago ante supuestos videos que ni siquiera existen y así de esta manera el usuario receptor del correo malicioso proceda a realizar el pago hacia el atacante.

El correo electrónico malicioso simula ser enviado desde la propia cuenta del usuario ya que en este tipo de acciones suplantan la identidad del usuario. Aunque realmente no es así, podemos comprobar el remitente real siguiendo los pasos de este contenido: Email spoofing: comprueba quién te envía un correo sospechoso.

El asunto del correo es el siguiente: ‘Propuesta de negocio’, pero podrían existir otros correos con información o asunto similares o bien pueden ser diferentes, pero con la misma finalidad.

Dentro del correo se le menciona al usuario afectado que su dispositivo ha sido infectado con un software espía con el que han conseguido extraer información de supuestos vídeos íntimos. En este punto el ciberdelincuente amenaza con difundir los videos entre los contactos del destinatario del correo, a no ser que realice un pago en bitcoins en un plazo de 48 horas. El objetivo de este tiempo es evitar que el usuario pueda analizar detenidamente la situación y pueda tomar medidas o acciones para evitar el ataque ante el miedo de pensar que dicho material comprometido pueda ser distribuido.

El atacante indica en el texto del mensaje que si se realiza el pago en el plazo indicado se procederá a eliminar los videos. Como se ha mencionado, el ciberdelincuente no tiene ninguna información personal ni videos, simplemente es la excusa que utilizan para que el usuario proceda a realizar el pago.

Recursos afectados:

Cualquier usuario que haya recibido un correo electrónico con características similares y haya hecho acciones como realizar el pago, entrado a algún link que esté en el cuerpo del correo, descargado algún archivo adjunto dentro de ese correo, podría afectar directamente su computadora.

Posible Solución:

En cuanto se reciba un correo sospechoso con las características descritas en este aviso de seguridad es recomendable no contestar y eliminarlo al momento. Nadie ha tenido acceso a tus dispositivos, ni ha grabado un vídeo íntimo. Se trata de un engaño que utiliza estrategias de ingeniería social para que sigas las indicaciones del ciberdelincuente.

NOTA IMPORTANTE: No se debe realizar ningún pago de ninguna cantidad, sobre todo no responder el correo ya que con esta acción estamos avisando a los ciberdelincuentes que nuestra cuenta / dominio están activos y de esta manera el ciber atacante mandará más ataques en el futuro.

Recomendación:

Nova recomienda una de las mejores soluciones en su portafolio TREND MICRO EMAIL SECURITY

Trend Micro™ Email Security detiene más ataques de phishing, ransomware y BEC energizado por

Seguridad XGen™. Nuestra solución utiliza una combinación óptima de técnicas de amenazas intergeneracionales, como aprendizaje automático, análisis de sandbox, prevención de pérdida de datos (DLP) y otros métodos para detener todo tipos de amenazas de correo electrónico.

Esta solución minimiza los gastos generales de administración y se integra con otras capas de seguridad de Trend Micro para compartir inteligencia sobre amenazas y brindar visibilidad central de las amenazas en toda su organización.

CARACTERÍSTICAS CLAVE TREND MICRO EMAIL SECURITY

• Protección en capas

• Protección contra el fraude por correo electrónico

• Protección contra vulnerabilidades de documentos

• Protección contra amenazas avanzada

• Extracción de archivos con contraseña

• Hora del clic en la URL

• Verificación y autenticación de la fuente

• Inteligencia de amenazas

• Cifrado de correo electrónico

• DLP

• Continuidad del correo electrónico

• Informes flexibles

• Connected Threat Defense

Síguenos en Instagram, Facebook y LinkedIn para más contenido de ciberseguridad y tecnologías de la información.

Consulta la Fuente de esta noticia aquí:

#NovaRecomienda

La guerra Rusia-Ucrania explotada como señuelo para la distribución de malware

Los grupos de distribución de malware actualmente están utilizando temas de phishing relacionados con la invasión de Ucrania, teniendo como objetivo infectar con troyanos de acceso remoto (RAT) como Agent Tesla y Remcos a las personas a las que les llegan estos correos.

Comúnmente los distribuidores de malware se aprovechen de las tendencias mundiales para engañar a los destinatarios para que abra los archivos adjuntos entregados por correo electrónico y, actualmente, no hay nada más vigilado que la invasión rusa a Ucrania.

Con este tema, los actores de amenazas envían emails maliciosos que instalan RAT en los sistemas de los destinatarios para obtener acceso remoto, extraer información confidencial, escanear nuestra red, desactivar el software de seguridad y, en general, preparar el terreno para cargas útiles más potentes, como los podría ser el despliegue de Ransomware.

Apuntando a fabricantes

Ucrania es un centro de fabricación de varias piezas, y el conflicto actual ha obligado a las fábricas a cerrar sus operaciones, creando inevitablemente problemas y escasez en la cadena de suministro.

Una de las principales campañas detectadas, es intentar explotar estas preocupaciones, dirigiéndose a los fabricantes con un archivo adjunto ZIP que supuestamente contiene una encuesta que deben completar para ayudar a sus clientes a desarrollar planes de respaldo.

Sin embargo, dicho archivo ZIP contiene un Agente Tesla RAT, que se ha utilizado mucho en  varias campañas de phishing  en el pasado.

La mayoría (83 %) de los correos electrónicos de phishing en esta campaña se originaron en los Países Bajos, mientras que los objetivos se encuentran en la República Checa (14 %), Corea del Sur (23 %), Alemania (10 %), Reino Unido (10 %), y EE. UU. (8 %).

Retenciones de pedidos falsos

La segunda campaña es una suplantación de identidad de una empresa médica de Corea del Sur que fabrica sistemas de diagnóstico in vitro.

El mensaje que le llega a sus objetivos afirma que todos los pedidos han sido suspendidos debido a restricciones de vuelos y envíos desde Ucrania.

El documento de Excel adjuntado en dicho correo supuestamente contiene más información sobre el pedido, pero en realidad, es un archivo con macros que explota la vulnerabilidad del Editor de ecuaciones de Microsoft Office, también conocida como CVE-2017-11882, para entregar el Remcos RAT en el sistema.

El 89% de estos correos electrónicos provienen de direcciones IP alemanas, mientras que los destinatarios se encuentran en Irlanda (32%), India (17%) y EE. UU. (7%).

Una de las soluciones para prevenir la ejecución de software no autorizado, así mismo detectar actividades potenciales de ransomware es Tanium, la cual se encuentra en el portafolio de  Ingeniería Aplicada Nova, dicha herramienta cuenta con una variedad de módulos que nos permiten tener una mejor visibilidad, control e incremento de seguridad en nuestra infraestructura, así mismo nos permite acelerar la respuesta ante incidentes, los principales módulos que nos permiten a detener la ejecución de software no autorizado, así mismo detectar actividades de ransomware son:

  • Tanium Threat Response

Este módulo supervisa la actividad en tiempo real de nuestros EndPoints y genera alertas cuando se detectan comportamientos maliciosos. 

  • Tanium Enforce 

Este módulo nos permite realizar listas blancas utilizando Applocker, para solo permitir la ejecución de software autorizado por la empresa y así evitar que se ejecute software no autorizado en los puntos finales.

Si deseas conocer más sobre esta solución, puedes consultar informaciones en: TANIUM, no olvides seguirnos en nuestras redes sociales FACEBOOK y LINKEDIN para revisar más contenido de ciberseguridad.

Consulta la fuente de este artículo aquí:

#NovaRecomienda.

Ataques DDoS, Defacement y HermeticWiper derivado del conflicto Rusia-Ucrania

La creciente tensión entre Rusia y Ucrania ha provocado que no sólo los ataques se realicen por aire y tierra, sino que ahora, con la importancia del ramo tecnológico para cualquier tipo de actividad, los ciber ataques juegan un papel relevante en este tipo de conflictos bélicos.

Desde el pasado mes de febrero, la policía cibernética de Ucrania detectó que los ciudadanos de dicho país estaban recibiendo SMS diciendo que los cajeros ATM estaban presentado fallas. El objetivo de esos mensajes era causar alarma entre la población. Posterior a ello, se presentaron ataques de DDoS dirigidos al Ministerio de Defensa de Relaciones Exteriores, las fuerzas armadas de Ucrania, y algunas instituciones bancarias, esto a través de las botnets conocidas como Mirai y Meri. Se especula que muy probablemente los ataques provenían de Rusia, sin embargo, todo indica que también otras organizaciones maliciosas han aprovechado la situación para lanzar más ataques de DDoS.

El pasado 23 de febrero, el archivo llamado conhosts._exe fue subido a un repositorio de malware público, el cual tenía una firma válida por parte de la organización Hermetica Digital Ltd. Dicho archivo trae embebido un malware de la familia Wiper que fue nombrado HermeticWiper, éste una vez que se ejecuta, borra todos los archivos del sistema donde fue ejecutado.

A la par de lo anterior, también hubo ataques Defacement a websites ucranianos. En esencia, este ataque usaba la misma plantilla de la vulnerabilidad OctoberCMS descubierta a inicio de este año. Los sitios afectados redirigen a una entidad llamada Free Civilian que ofrece bases de datos que contienen datos personales de ciudadanos ucranianos.

El temor aquí es que estos ataques también se propaguen a organizaciones financieras, gubernamentales, etc. de todo el mundo.

Afortunadamente, el equipo Unit 42 de Palo Alto está en constante análisis de la situación y los ataques que han ido surgiendo. Por ello, diariamente están actualizando los patrones de detección de malware que están bloqueando cientos de dominios, IP’s y URL’s relativas a los nuevos ataques. También han agregado nuevas firmas a los patrones de detección de Wildfire que de igual manera bloquean el malware HermeticWiper.

Te invitamos a seguir las redes sociales de Nova Instagram, Facebook y LinkedIn para que estés enterado de ésta y más noticias, y como podemos ayudarte a estar protegido a través del amplio portafolio de soluciones en ciberseguridad con el que contamos como lo es Palo Alto Networks.

#NovaRecomienda

Importancia de una estrategia de seguridad en nube

En este artículo siguiendo el hilo de la seguridad en la nube, el foco está en la importancia de una estrategia de seguridad, para ello quiero hacer un pequeño viaje al pasado y recordar cómo los datos empresariales, personales y de interés comercial se almacenaban de forma local, por supuesto existen diferentes estrategias para proteger los datos locales, pero no es lo mismo proteger un servidor de la empresa que proteger un entorno compartido que siempre está conectado, las estrategias de seguridad on premise y en nube tienen una buena cantidad de diferencias.

Nuevo enfoque de ciberseguridad.

La realidad es que los entornos de nube nos han empujado a re-evaluar la ciberseguridad, los datos en la nube están siempre accesibles por internet y esto representa el mayor riesgo en esta forma de almacenar información.

El principal reto al que nos enfrentamos para proteger los datos de la nube es en donde están, cuando accedemos a la nube desde nuestro Smartphone o nuestra computadora portátil la información puede almacenarse en diferentes dispositivos, esto es lo que hace difícil la seguridad, pues no solo tenemos que proteger la red de la organización, estos dispositivos acceden a otras redes, por lo que están poniendo en peligro la información al volverse un nuevo blanco para un atacante.

Un primer paso es educarnos en el tema.

La seguridad de la nube requiere de buenas prácticas por parte de los usuarios, se dice fácil pero la realidad es que no todos tienen claro lo que esto implica.

Cada día crece la cantidad de usuarios de nube, tanto para las empresas como para uso individual, la razón es que los usuarios preferimos la comodidad por encima de la seguridad.

Ahora entendamos que una nube no es otra cosa que un lugar centralizado de almacenamiento de información al que acceden múltiples usuarios ininterrumpidamente, toda esta información recopilada por unos cuantos proveedores de servicios importantes es el objetivo perfecto para un ciberataque, los delincuentes pueden atacar varias empresas a la vez que se encuentren en el mismo centro de datos y causar importantes filtraciones de información aprovechándose de la velocidad de innovación que permite la tecnología que avanza más rápido que la seguridad de la industria.

A pesar de que los proveedores de la nube cuentan con muchas funciones de seguridad nunca va a ser suficiente, por eso los usuarios tenemos el deber de educarnos sobre la seguridad de la nube.

Para finalizar quiero compartir algunos consejos de ciberseguridad para mantener la información a salvo.

Como mantener tu información segura.

  • Utiliza siempre contraseñas seguras.
  • Puedes usar un administrador de contraseñas y así usar contraseñas diferentes sin tener que recordarlas todas.
  • Protege todos tus dispositivos con software antivirus y antimalware, tablets, laptops, smartphones, para que no tengas ningún eslabón débil en tu red.
  • Haz copias de seguridad periódicamente por si en algún momento la nube queda inaccesible o necesitas restaurar la información en algún punto.
  • Y evita acceder a datos importantes en redes públicas.

Síguenos en Instagram, Facebook y LinkedIn para más contenido de ciberseguridad y tecnologías de la información, estamos seguros de que no querrás perdértelo.

#NovaInforma