Emotet está de vuelta después de 10 meses, con nuevas técnicas para propagar malware.

La botnet parece utilizar un nuevo método de entrega para comprometer los sistemas Windows después de que Microsoft deshabilita las macros de VBA de forma predeterminada.

Los ataques de malware de Emotet están de vuelta después de un “spring break” de 10 meses. Ese nuevo enfoque incluye ataques de phishing más específicos, diferentes de las campañas anteriores.

Analistas vincularon esta actividad con el actor de amenazas conocido como TA542, que desde 2014 ha aprovechado el malware Emotet con gran éxito.

Emotet, una vez apodado “el malware más peligroso del mundo” está siendo aprovechado en su campaña más reciente para entregar ransomware. Los responsables de la distribución del malware han estado en la mira de las fuerzas del orden durante años. En enero de 2021, las autoridades de Canadá, Francia, Alemania, Lituania, los Países Bajos, Ucrania, el Reino Unido y los Estados Unidos trabajaron juntos para derribar una red de cientos de servidores de botnets que soportan Emotet, como parte de la “Operación LadyBird”.

Nueva fase de Emotet

Los atacantes detrás del malware han enviado millones de correos electrónicos de phishing diseñados para infectar los dispositivos con malware y pueden ser controlados por botnets.

Esta nueva prueba de correos electrónicos de phishing podría ser el resultado de las acciones de Microsoft para deshabilitar macros específicas asociadas con las aplicaciones de Office en febrero de 2022. En ese momento, Microsoft dijo que estaba cambiando los valores predeterminados para cinco aplicaciones de Office que ejecutan macros. Esto evita que los atacantes se dirijan a documentos con servicios de automatización para ejecutar el malware en los sistemas de las víctimas.

Las nuevas técnicas observadas en campañas recientes parecían probarse a menor escala, como una prueba de potencial para una campaña más grande.

Las nuevas campañas utilizan cuentas de correo electrónico comprometidas para enviar correos electrónicos de spam-phishing con un título llamativo de una palabra. Los términos comunes en los ataques de phishing incluyen “salario” se utilizan para alentar a los usuarios a hacer clic por curiosidad, las nuevas técnicas observadas en campañas recientes parecían probarse a menor escala, como una prueba de potencial para una campaña más grande.

Según los investigadores, el uso de URL de OneDrive y XLL hace que esta campaña sea distinta de las anteriores. Anteriormente, Emotet intentó propagarse a través de archivos adjuntos de Microsoft Office o URL de phishing. Esas cargas maliciosas incluían documentos de Word y Excel que contenían scripts o macros de Visual Basics para Aplicaciones (VBA).

Recomendación

Trend Micro Email Security, incluido dentro del portafolio de NOVA nos ayuda a detener ataques de phishing, ransomware y BEC. Con tecnología de seguridad XGen™, nuestra solución utiliza una combinación óptima de técnicas de amenazas intergeneracionales, como machine learning, análisis en sandbox, prevención de pérdida de datos (DLP) y otros métodos para detener todo tipo de amenazas de correo electrónico.

También cuenta con autenticación basada en el dominio, SPF, DKIM y DMARC son tres sistemas de autenticación de correo electrónico que protegen contra el falseamiento del correo electrónico.

El marco de directivas de remitente (SPF) es un estándar abierto para evitar la falsificación de direcciones de remitente. El SPF protege el remite, que se usa para entregar los mensajes de correo electrónico. Email Security le permite comprobar la autenticidad del remitente mediante la configuración de SPF.

DomainKeys Identified Mail (DKIM) es un sistema de validación de correo electrónico que detecta el falseamiento del correo electrónico validando la identidad del nombre de dominio asociada con un mensaje mediante la autenticación criptográfica. Asimismo, DKIM se usa para garantizar la integridad de los mensajes entrantes y para comprobar que un mensaje no se ha alterado durante la transferencia.

La autenticación de mensajes, informes y conformidad basada en dominios (DMARC) es un sistema de validación de correo electrónico que permite detectar y evitar el falseamiento de correo electrónico. Está diseñado para luchar contra determinadas técnicas que se utilizan en el phishing y el spam, como mensajes de correo electrónico con direcciones de remitentes falsos que parecen proceder de organizaciones legítimas. Permite autenticar mensajes de correo electrónico para dominios específicos, enviar información a los remitentes y ajustarse a una política publicada.

Una vez implementado Trend Micro Email Security los administradores de correo pueden configurar reglas para detectar y eliminar malware de los mensajes entrantes antes de que lleguen a la red corporativa Email Security puede poner en cuarentena el spam detectado y otros mensajes inadecuados. 

Síguenos en Instagram, Facebook y LinkedIn para más contenido de ciberseguridad y tecnologías de la información.

Consulta a fuente de la noticia aquí.

#NovaRecomienda

Microsoft soluciona 3 vulnerabilidades Zero day.

Microsoft lanzo las correcciones para mitigar las tres, incluyendo además un error explotado de forma activa recientemente.

CVE-2022-26925

La vulnerabilidad identificada como CVE-2022-26925, es descrita como un error de suplantación de identidad en Windows LSA en la que se han confirmado casos de explotación en ambientes reales.

Se menciona que la vulnerabilidad es mucho más amenazante, si bien, las muestras de código disponibles no pueden ser probadas, se están utilizando exploits funcionales, pero que al combinar estos exploits con ataques  de relay NTLM en servicios de certificados de Directorio Activo, la vulnerabilidad puede alcanzar una puntuación de CVSS 9.8/10, sin embargo, la vulnerabilidad recibió una puntación de 8.1/10 según el Common Vulnerability Scoring Sistem. Debido a esta vulnerabilidad Microsoft ha solicitado a todas las organizaciones actualizar todos los controladores de dominio lo antes posible.

CVE-2022-29972

La vulnerabilidad denominada CVE-2022-29972 puede ser utilizada para ejecución remota de código (RCE) en Magnitude Simba Amazon Redshift ODBC Driver de Insight Software. Es probable que corresponda a los proveedores de servicios en la nube la solución de esta falla.

CVE-2022-22713

Por último, la vulnerabilidad CVE-2022-22713 es utilizada para la Denegación de Servicio (DoS) en Hyper-V, esta vulnerabilidad afecta a sistemas operativos Windows 10 de  64 bits y Windows Server 2019, para Microsoft esta vulnerabilidad puede obtener una puntuación CVSS de 5.6/10, por lo que su explotación tiene muy pocas probabilidades.

 
Recomendación

Tanium disponible en el portafolio de Nova, ofrece velocidad, visibilidad y control inigualables,  es una plataforma de seguridad y gestión unificada de endpoints (UES) diseñada para las organizaciones y los equipos de TI técnicamente más exigentes a nivel global, una herramienta perfecta para la gestión de parches de todo el parque informático y además.

  • Reduce la superficie de ataque: Mejora la eficacia de parches de primer paso para “día cero” de 60% a más del 99%. Acelera la efectividad de semanas o incluso meses a horas, mediante la implementación de acciones de recuperación, parches u otras actualizaciones de software, mejora en cualquier escala.
  • Detección y respuestas de amenazas: Brinda la mejor visibilidad a tu equipo para identificar amenazas y responder efectivamente a ellas en caso de un ataque.
  • Gestión Unificada de Enpoints: Controla totalmente todos los equipos de tu organización, remedia vulnerabilidades y optimiza la configuración, detección y respuesta del endpoint, privacidad de datos y riesgos, descubre el 100% de tuinventario de dispositivos.

Síguenos en Instagram, Facebook y LinkedIn para más contenido de ciberseguridad y tecnologías de la información.

Consulta la Fuente de esta noticia aquí:

#NovaRecomienda

Formatear un disco duro no es suficiente

borrado seguro

Formatear un disco duro o vaciar la papelera de reciclaje no es suficiente para garantizar la eliminación total de la información.

La correcta eliminación de información de un dispositivo es una tarea sensible. Por ejemplo, cuando EUA decidió la retirada de Afganistán, el departamento de defensa emitió un informe con las directrices que se debían seguir para evitar que los datos cayesen en manos de los talibanes.

Es normal que las empresas particulares reciclen dispositivos, los cedan o regalen para otro uso o incluso los venden para recuperar algo de dinero, estas prácticas no son las mejores si hablamos de ciberseguridad, pues en estos casos se suele formatear los discos y esto solo quita la indexación del contenido, sin embargo, todo sigue ahí y estos datos pueden ser recuperados por herramientas cero complejas y de fácil acceso; al mismo tiempo, si se trata de información sensible de la empresa, constituye un riesgo enorme para la organización.

Para ejemplificar mejor esto, piensa en cuando eliminas algo de tu ordenador y va a la papelera, aunque el espacio de memoria ahora aparece como disponible, el archivo aún puede restaurarse.

Recomendación

Blancco es una herramienta que se encuentra en la cartera de soluciones de Nova, dicha herramienta nos permite realizar borrados completos y seguros, dándonos la garantía de que la información será completamente eliminada, sin la posibilidad de poder recuperarla.

Los borrados pueden realizarse a todos los sectores de un disco duro ya sea SSD o HSSD (internos externos), puede ser ejecutado a cierta información (carpetas, documentos, multimedia, etc.) dentro del equipo, usb y también a dispositivos móviles.

El borrado es certificado una vez es completado, lo cual nos ayuda a cumplir con normativas de seguridad de la información.

Te invitamos a seguirnos en nuestras redes sociales Instagram, FacebookLinkedin para encontrar éstas y demás soluciones que Nova ofrece para mantener tu infraestructura de red segura y libre de ciberamenazas.

Vulnerabilidad en las Pymes, uno de los principales objetivos en tiempos de pandemia.

“En la ciberseguridad hay toda una serie de aspectos en los que las pymes deben de tener cierto criterio para controlar todas las posibles vías a través de las que puede quedar afectada la privacidad, seguridad e integridad de los datos.”

El pensamiento de que los ciberataques son cosa de las grandes instituciones es una corriente de pensamiento bastante extendida en la sociedad. Sin embargo, la pandemia ha contribuido en este sentido, a romper estas falsas creencias, demostrando que cualquiera puede ser un objetivo atractivo para los ciberdelincuentes. Por tanto, las pymes, también son un objetivo potencial, y como tal, necesitan reforzar su ciberseguridad.

Los ciberataques más comunes suelen ser los que buscan la suplantación de identidad, generalmente gracias a las nuevas técnicas que han adquirido los hackers para explotar el fenómeno del phishing. También sea puesto en práctica últimamente el smishing, que son SMS que llegan a nuestros teléfonos móviles con algún llamamiento para que se sigan sus pasos y así caer en la trampa. Por lo tanto, ante tanta amenaza posible, es necesario aumentar la ciberseguridad en las pymes, primero observando los factores que favorecen su aparición, y segundo, buscando como detenerlos.

Riesgos de las Pymes

  • Falta de capacidad de seguridad y madurez ante las amenazas
  • Presupuesto de ciberseguridad limitado
  • Teletrabajo o trabajo híbrido
  • Aceleración de la digitalización
  • Creencia en que no son lo suficientemente importantes para los ciberdelincuentes

El gran problema de tener escasez de recursos en materia de ciberseguridad es que, en caso de existir un ataque o una brecha de seguridad, tarde en ser detectado y subsanado. En ese lapso, ya se podría haber perdido información muy sensible del negocio, parar o afectar la operación y las consecuencias, a niveles económicos, podrían ser desastrosas. Por eso, traemos una recomendaciones, para ser más eficaces a la hora de aumentar la seguridad de los negocios.

  • Crear contraseñas fuertes, seguras y cambiarlas frecuentemente
  • Contar con la autenticación de doble factor
  • Limitar el acceso al software y a los servicios
  • Cerrar los puertos y detener los servicios que no se utilizan
  • Probar y hacer test con las distintas copias de seguridad
  • Tener actualizados los distintos programas y soluciones de ciberseguridad

Recomendación.

Proactivanet herramienta disponible en el portafolio de Nova, nos ofrece todo lo necesario para lograr tener una mejor estrategia de seguridad ante cualquier tipo de ataque o amenaza que se pueda presentar.

Como herramienta ITAM permite conocer con total certeza y fiabilidad el inventario de todo el parque informático de nuestra organización en cualquier momento, en cualquier lugar, así como sus licencias de software y su configuración automática.

De igual forma ayuda para reducir la superficie de ataque, así como en auditorías de hardware y software pues también permite saber el número de licencias de todos los productos instalados en los equipos.

Síguenos en Instagram, Facebook y LinkedIn para más contenido de ciberseguridad y tecnologías de la información.

Consulta la Fuente de esta noticia aquí:

#NovaRecomienda