Karakurt, un grupo cibercriminal que extrae información de organizaciones.

Esta operación maliciosa se caracteriza por no usar malware durante sus intrusiones, contrario a prácticamente cualquier otro grupo de extorsión. Los rescates exigidos por Karakurt van desde los $25,000 hasta los $13 millones, y siempre se debe realizar el pago a través de bitcoin. Karakurt había comenzado como una agrupación de filtraciones y subastas en la dark web, aunque el dominio utilizado para sus operaciones fue desconectado hace un par de meses. Para inicios de mayo, el nuevo sitio web de Karakurt contenía varios terabytes de datos presuntamente pertenecientes a víctimas en América del Norte y Europa, además de una lista de supuestas víctimas.

Otro rasgo característico de Karakurt es que no se enfocan solamente en un tipo específico de víctima, ya que simplemente basan sus ataques en la posibilidad de acceder a las redes comprometidas. Para sus ataques, los hackers pueden usar mecanismos poco protegidos y debilidades de infraestructura, o bien colaborar con otros grupos cibercriminales para obtener acceso inicial al objetivo. Acorde a CISA, comúnmente los hackers obtienen acceso a las redes comprometidas explotando dispositivos SonicWall VPN o Fortinet FortiGate sin actualizaciones u obsoletos, empleando fallas populares como Log4Shell o errores en Microsoft Windows Server.

Según un informe, Karakurt es parte de la red Conti, que opera como un grupo autónomo junto con Black Basta y BlackByte, otros dos grupos que dependen del robo de datos y la extorsión con fines de monetización.

Recomendación.

El mantener los aplicativos actualizados a últimas versiones recomendadas por el fabricante puede garantizar una cobertura más amplia ante ataques, debido a que en nuevas actualizaciones o parches los fabricantes suelen añadir nuevas características para evitar vulnerabilidades.

Con Deep Discovery Inspector de Trend Micro al ser un aplicativo de red física o virtual, nos proporciona visibilidad, inspección de tráfico, detección de amenazas avanzadas y un análisis en tiempo real. Esto gracias a que algunos de sus métodos de detección son:

  • Simulación de aislamiento personalizado.
  • Análisis heurístico basado en reglas.
  • Análisis de malware.
  • Supervisa el tráfico de red conectándose al puerto espejo de un conmutador para una interrupción mínima o nula de la red.

Síguenos en Instagram, Facebook y LinkedIn para más contenido de ciberseguridad y tecnologías de la información.

Consulta la fuente de este artículo aquí.

#NovaRecomienda

Avance de la conferencia RSA: ¿Cómo los gobiernos pueden combatir el Ransomware?

La Conferencia RSA ha sido el evento de ciberseguridad líder en el mundo durante muchos años. Ofrece una amplia gama de oportunidades para aprender sobre las mejores prácticas de seguridad cibernética, hacer demostraciones de productos de seguridad de próxima generación y establecer contactos con colegas de la industria y proveedores y socios con los que quizás desee trabajar.

Ahí se presentan algunas de las siguientes problemáticas a las que se enfrentan gobiernos y organizaciones privadas como el Ransomware.

El Ransomware es un problema creciente. Sólo considere algunos datos:

  • La violación promedio de ransomware cuesta $ 4.52 millones en daños y costos de resolución.
  • La cantidad de incidentes de ransomware informados creció un 37 % año tras año y los costos de un incidente aumentaron un 147 %.
  • Se produce un ataque de ransomware cada 11 segundos, y se proyectó que el ransomware causó $ 20 mil millones en daños globales en 2021.

El ransomware es un problema de todos. En los últimos años, grupos de todos los sectores han experimentado infracciones de ransomware de alto perfil, y eso incluye al sector público y privado.

El 30 de marzo de 2022, el FBI publicó una notificación de que los ataques de ransomware están poniendo a prueba a los gobiernos locales de EE. UU. y otras entidades del sector público. La notificación destacó varios casos en los que el ransomware cerró oficinas públicas, desconectó sistemas y servicios y provocó el robo de gigabytes de datos.

Afortunadamente, el ransomware no es una fuerza imparable. Los gobiernos y las organizaciones pueden construir defensas efectivas que reduzcan el riesgo y el impacto de las infracciones de ransomware.

Un marco práctico para luchar contra el ransomware

El ransomware es un patrón de ataque complejo y multifacético. Comienza mucho antes de que el atacante envíe una nota de rescate y puede continuar mucho después de que la víctima pague el rescate o intente desalojar al atacante.

Para luchar contra el ransomware, debe crear una defensa que sea tan compleja y multifacética como el propio ataque. Debe desplegar una amplia gama de capacidades defensivas en cada etapa de la campaña del atacante.

Aquí hay un marco práctico que describe algunas de las principales capacidades y pasos necesarios para protegerse contra el ransomware. Esta descripción general le dará una buena idea de lo que realmente se necesita para combatir eficazmente el ransomware antes, durante y después de un ataque.

Antes del ataque, el atacante desarrolla inteligencia, control y apalancamiento para colocarlo en una posición desafiante. Para evitar esto, debe levantar una barrera de entrada a su red.

  • Establezca visibilidad continua de sus endpoints y sus actividades
  • Elimine las vulnerabilidades conocidas en sus activos a través de una fuerte higiene cibernética
  • Busque de forma proactiva indicadores de compromiso (IOC) que sugieran que se está produciendo un ataque no detectado

Durante el ataque, el atacante crea tantos problemas como sea posible antes de enviar la nota de rescate. Para luchar contra ellos, debe remediar el ataque y desalojar al atacante lo más rápido posible.

  • Descubra la causa raíz del ataque, la propagación lateral y los activos comprometidos
  • Cierre otras vulnerabilidades en su entorno para contener la propagación del ataque
  • Desaloje a los atacantes y recupere el control de sus sistemas sin pérdida significativa de datos

Después del ataque, el atacante puede lanzar ataques adicionales, ya sea desde un punto de apoyo oculto restante o desde una nueva brecha. Para detenerlos, debe fortalecer su entorno contra el atacante. Específicamente debe:

  • Encontrar y cerrar las instancias restantes de las vulnerabilidades que explotó el ataque
  • Encontrar cualquier punto de apoyo restante que los atacantes aún puedan tener y desalojarlos
  • Mejorar continuamente la salud y la seguridad general de su entorno

Cómo usar Tanium para combatir el ransomware

En nuestro portafolio contamos con la solución Tanium, que proporciona una plataforma de gestión convergente de herramientas, de la operación y seguridad de TI y de nuestros endpoints. La plataforma proporciona visibilidad y control en tiempo real sobre endpoints en redes distribuidas modernas y encaja perfectamente en una estrategia de seguridad más amplia y un ecosistema más grande de herramientas anti-ransomware.

Por sí solo, Tanium puede ayudarlo a combatir el ransomware en cada etapa de un ataque.

Antes del ataque, Tanium hace una higiene cibernética casi perfecta que reduce su superficie de ataque, reduce la posibilidad de sufrir una infracción y limita la posible propagación de cualquier ataque de ransomware que experimente. Con Tanium, puedes:

  • Crear un inventario completo y en tiempo real de sus endpoints
  • Parchar, actualizar, configurar y controlar sus endpoints en horas o días
  • Realizar escaneos continuos y búsquedas puntuales en tiempo real para IOC específicos

Durante el ataque, Tanium puede investigar incidentes casi en tiempo real y aplicar controles rápidamente para desalojar al atacante. Con Tanium, puedes:

  • Mapear toda la cadena de ataque e identifique que activos se vieron comprometidos
  • Identificar otros activos vulnerables al ataque y protegerlos proactivamente
  • Negociar con confianza, sabiendo que puede desalojar al atacante sin compromiso

Después del ataque, Tanium puede aprender del ataque y endurecer el entorno contra un segundo ataque o un patrón de ataques similares. Con Tanium, puedes:

  • Encontrar y cerrar las instancias restantes de las vulnerabilidades que explotó el ataque
  • Escanear en busca de rastros restantes de los atacantes y desalojarlos por completo
  • Mejorar la higiene cibernética fundamental para reducir la posibilidad de cualquier violación

Te invitamos a seguir las redes sociales de Nova, Instagram, Facebook y LinkedIn para más contenido de ciberseguridad y tecnologías de la información.

#NovaInforma

Foxconn confirma que el ataque de ransomware interrumpió las operaciones en una fábrica con sede en México.

El gigante de fabricación de teléfonos inteligentes Foxconn ha confirmado que un ataque de ransomware a fines de mayo interrumpió las operaciones en una de sus plantas de producción con sede en México.

La planta de producción afectada es Foxconn Baja California, ubicada en la ciudad de Tijuana en la frontera con California, la cual se especializa en la producción de dispositivos médicos, electrónica de consumo y operaciones industriales. La compañía dijo que, si bien las operaciones en la planta se vieron interrumpidas como resultado del ataque de ransomware, la fábrica está “volviendo gradualmente a la normalidad”.

Foxconn se negó a decir si se accedió a algún dato como resultado del ataque, ni proporcionó información sobre quién fue el responsable. Sin embargo, los operadores de LockBit, una destacada operación de ransomware como servicio (RaaS), se responsabilizaron del ataque del 31 de mayo y amenazan con filtrar los datos robados a menos que se pague un rescate antes del 11 de junio. Las demandas de LockBit siguen siendo desconocidos y Foxconn se negó a comentar si había pagado la demanda de rescate.

Esto ya había pasado.

Esta no es la primera vez que Foxconn ha sido atacado por ransomware. En diciembre de 2020, la empresa dijo que algunos de sus sistemas con sede en EE. UU. habían sido atacados por los operadores del ransomware DoppelPaymer, quienes exigieron un pago de 34 millones de dólares en bitcoins.

El ransomware LockBit surgió por primera vez como el “ransomware ABCD” en septiembre de 2019, que se mejoró para convertirse en una de las familias más prolíficas de la actualidad.

A través de sus operaciones profesionales y su sólido programa de afiliados, los operadores de LockBit demostraron que estaban en esto a largo plazo. Por lo tanto, familiarizarse con sus tácticas ayudará a las organizaciones a fortalecer sus defensas contra los ataques de ransomware actuales y futuros.

LockBit utiliza un modelo de ransomware como servicio (RaaS) y constantemente concibe nuevas formas de mantenerse por delante de sus competidores. Sus métodos de doble extorsión también agregan más presión a las víctimas, aumentando las apuestas de sus campañas.

Operando como un RaaS, las cadenas de infección de LockBit muestran una variedad de tácticas y herramientas empleadas, dependiendo de los afiliados involucrados en el ataque. Los afiliados suelen comprar el acceso a los objetivos de otros actores de amenazas, que normalmente lo obtienen a través de phishing, explotando aplicaciones vulnerables o cuentas de protocolo de escritorio remoto (RDP) de fuerza bruta. 

Recomendación.

Acronis Cyber Protect incluida dentro del portafolio de soluciones de seguridad de Nova, es una solución que nos ayuda a gestionar la ciberprotección en un panorama de amenazas que evolucionan continuamente. Podemos proteger los datos frente a cualquier amenaza con Acronis Cyber Protect, la única solución de ciberprotección que integra de forma nativa protección de datos y ciberseguridad.

Los datos se han convertido en el recurso más importante del mundo y los ciberdelincuentes extorsionan a diario a empresas de todos los países para conseguir los suyos. El ransomware pone en riesgo los datos de sus clientes y sus empleados, sus secretos comerciales e incluso la propia existencia de su empresa. Las soluciones de Acronis utilizan ciberprotección de próxima generación para frenar el ransomware de raíz, incluso las variantes que no se habían detectado nunca antes.

Dentro de las funcionalidades que Acronis Cyber Protect son las siguientes:

  • Copia de seguridad y recuperación líderes del mercado

Elimina las brechas en su seguridad con tecnologías integradas de copia de seguridad y antiransomware.

  • Ciberseguridad para vencer a cualquier amenaza

Defiende cada bit de datos contra las ciberamenazas nuevas y en evolución, con protección contra el malware basada en inteligencia automática.

  • Administración de protección integrada

Simplifica la protección de los endpoints con filtrado de URL integrado y automatizado, evaluaciones de vulnerabilidades, administración de parches y otras funciones.

Una vez implementado Acronis Cyber Protect tendremos las herramientas de protección con Ciberseguridad la cual con métodos integrados elimina los desafíos de complejidad y entrega mejor protección contra las amenazas actuales y maximiza la eficiencia en tiempo y dinero con la completa protección anti-malware y la administración de endpoints, para simplificar las operaciones de los equipos de TI.

Síguenos en Instagram, Facebook y LinkedIn para más contenido de ciberseguridad y tecnologías de la información.

Consulta la fuente de este artículo aquí:

#NovaRecomienda

Vulnerabilidades en nube – contenedores

Según Gartner el 90% de las organizaciones globales ejecutarán aplicaciones en contenedores para el 2026. Comparado con el 40% actual podemos predecir que la superficie de ataque y vulnerabilidades de  contenedores va a seguir expandiéndose.

La protección de los contenedores desplegados actuales y la respuesta efectiva a los problemas de seguridad de los contenedores del mañana, requieren un buen análisis de vulnerabilidades idealmente automatizado y rápido para garantizar la protección.

El incumplimiento de buenas prácticas operativas de seguridad también aumenta el riesgo. Las organizaciones apresuran su expansión y migración a la nube sacrificando la seguridad de sus ambientes, esto desgraciadamente les da la oportunidad de actuar a los atacantes.

Algunos estudios dicen que el 75% de los contenedores tienen vulnerabilidades parcheables altas o críticas, esto implica un nivel significativo de aceptación del riesgo que puede ser muy peligroso.

La meta de la ciberseguridad para estos temas es que el proceso de protección para los contenedores sea continuo, se pueda integrar al proceso de desarrollo y mantenga segura la operación.

Esta implementación significa que su negocio mitigará el riesgo y reducirá las vulnerabilidades a lo largo de una superficie de ataque en constante expansión.

Los principales puntos a tener en cuenta para proteger sus contenedores deben ser, el cumplimiento de la normativa de protección de datos, la visibilidad, configuración y el análisis de amenazas continuo.

Esto es exactamente lo que Prisma Cloud de Palo Alto Networks presente en el portafolio de Nova ofrece.

Recomendación.

Diseñado específicamente para ayudar a los equipos de seguridad a responder de manera más rápida y eficiente a los incidentes y vulnerabilidades de seguridad de los contenedores, el escaneo de contenedores integrado de Prisma Cloud mejora la detección, la respuesta de remediación y la prevención al tiempo que respalda operaciones de seguridad más simplificadas para los equipos.

“Los clientes siempre están buscando formas efectivas de aumentar su capacidad para encontrar, administrar y remediar las vulnerabilidades de los contenedores en su negocio”, dice Matthew Scott, director senior de Prisma Cloud Technology Partnerships en Palo Alto Networks. Nuestros clientes pueden ver y abordar las vulnerabilidades de los contenedores en los flujos de trabajo más fácilmente”.

Síguenos en Instagram, Facebook y LinkedIn para más contenido de ciberseguridad y tecnologías de la información.

#NovaRecomienda