“PHOSPHORUS” un peligroso grupo de actores ransomware

phosphorus

Los equipos de inteligencia de amenazas de Microsoft han estado rastreando múltiples campañas de ransomware y han vinculado ataques a “DEV-0270” también conocidos como Nemesis Kitten (un grupo de cibercriminales Iraní que a su vez son un subgrupo de PHOSPHORUS). Microsoft evaluó operaciones realizadas por “DEV-0270” de red maliciosas, incluido el análisis generalizado de vulnerabilidades.

“DEV-0270” aprovecha los exploits para vulnerabilidades de alta criticidad para obtener acceso a los dispositivos. “DEV-0270” también utiliza binarios (LOLBINs) a lo largo de la cadena de ataque para el descubrimiento y el acceso a credenciales, además, el grupo de ciberdelincuentes utiliza herramientas nativas de Microsoft como BitLocker para cifrar archivos en dispositivos comprometidos.

Según Microsoft, en algunos casos en los que el ransomware fue exitoso, el tiempo de rescate (TTR) entre el acceso inicial y la nota de rescate fue de alrededor de dos días. Se ha observado que el grupo exige USD 8.000 para las claves de descifrado.

Además, se ha observado que el actor busca otras vías para generar ingresos a través de sus operaciones. En un ataque, una organización víctima se negó a pagar el rescate, por lo que el actor optó por publicar los datos robados de la organización para su venta.

Recomendación contra grupos de ransomware

Salvaguardar la información hoy en día ante las nuevas brechas de seguridad representa un reto para las empresas, debido a que los riesgos en el área de tecnología evolucionan continuamente. Es por ello que el poder tomar el control del riesgo moderno conlleva una ardua tarea.

Tanium Enforce nos permite que la administración de políticas de Windows sea simple y automatizada de tal forma que se pueda supervisar de forma continua en todos los endpoints. Esto gracias a que algunos de sus métodos de detección:

  • Windows policy management. Administración de políticas de Windows para sistema operativo y servidor.
  • Device and removable storage control. Control de acceso a dispositivos de lectura o escritura, así mismo el control de acceso a endpoints.
  • Firewall management. Administración de procesos y aplicativos permitidos.
  • Antivirus management. Mejora de gestión de Windows Defender.
  • Drive encryption. Administración, configuración y aplicación de políticas de cifrado de endpoints.
  • Lightweight agent. Consola de administración ligera, donde se configuran, aplican y verifican políticas de endpoints.

Además, podemos utilizar Tanium Comply, de esta forma lograremos tener un alcance mayor de análisis y prevención ante alguna posible amenaza, dado que ayuda a:

  • Cumplir con configuraciones y escaneos de vulnerabilidades.
  • Correcciones, actualizaciones de software y cambios de políticas.
  •  Evaluación de sistemas operativos, así como aplicaciones, normas y configuraciones de seguridad.

Te invitamos a seguir las redes sociales de Nova, Instagram, Facebook y LinkedIn para que estés enterado de esta y más noticias y poder ayudarte a estar protegido a través del amplio portafolio de soluciones en Ciberseguridad con el que contamos.

Consulta la fuente de esta entrada aquí:

#Novainforma

Ciberataque a UBER: análisis según expertos

ciberataque a uber

En 2017 Uber admitió ser víctima de un ciberataque que afectó a 57 millones de clientes y socios de la firma, ataque que habían mantenido oculto desde octubre de 2016.

Este ataque resultó en un robo a nivel mundial de datos como e-mail, nombres completos y números de teléfono de 50 millones de usuarios de Uber y 7 millones de conductores en todo el mundo a quienes además robaron copias de sus licencias de conducir.

Aunque Uber estaba obligado a alertar a los reguladores y conductores cuyos números de licencia estaban comprometidos, el startup más caro del mundo decidió pagar 100,000 dólares para que los ciberdelincuentes borraran los datos robados y esconder lo sucedido.

El ciberataque a Uber “Un grave error en la seguridad de nube”

Uber como muchas empresas contrataron el servicio de Amazon Web Services para almacenar su información, el gran error fue no cifrar la información de sus usuarios, los cibercriminales accedieron a las credenciales de AWS de algunos ingenieros de Uber a través de movimientos laterales desde otros portales como GitHub, una herramienta de programación que usan los desarrolladores de la aplicación.  

¿Malas decisiones?

Joe Sullivan, quien era el responsable de seguridad de ese entonces en Uber decidió mantener en secreto la filtración de datos, además pagó 100,000USD para que los criminales borraran la información robada.

Casi un año después del ataque, la verdad salió a la luz y Joe Sullivan fue despedido.

¿Crees que sus decisiones estuvieron bien? ¿Tú qué hubieras hecho en su lugar?

Hoy, muchos años después del ataque que afectó a casi 60 millones de personas los expertos dan su opinión del caso y nos dicen porque es tan peligroso pagar a los ciberdelincuentes.

Diferentes firmas de seguridad se muestran en total desacuerdo con la decisión del responsable de seguridad de pagar a los ciberdelincuentes, el motivo es que el pago en si establece un peligroso precedente que incentiva a los ciberdelincuentes aún más.

Opinión de un experto del ciberataque a Uber

Ricardo Maté, director general de Sophos, nos habla del caso y dice que es “una muestra más de que es necesario tomarse la ciberseguridad en serio y que nunca se debe incrustar o implementar tokens de acceso (generadores de claves) o claves en repositorios de códigos fuente”. Menciona también que este tipo de “secretos” no son descubiertos mientras las empresas lo decidan así, como en esta ocasión Uber pagó a los ciberdelincuentes 100.000 dólares para que ocultaran la brecha de seguridad. Además dice “nos hace ver que hoy en día muchos equipos de desarrolladores no tienen un alto estándar de las prácticas de seguridad y que ha compartido credenciales”.

Uber no ni será la última compañía en ocultar una filtración de datos o un ciberataque. Pero esto expone a los consumidores a un mayor riesgo de ser víctimas de fraude. Por esta razón que muchos países están impulsando regulaciones que obligue a las empresas a divulgar las brechas de seguridad, como es el caso de Corea del sur, en donde ocultar esta información es un delito.

La marca recomienda Intercept X, una poderosa solución para detener la más amplia variedad de amenazas y prevenir accesos no autorizados, así como proteger la infraestructura con Sophos XG Firewall que ayuda a las empresas a detectar riesgos ocultos y detener amenazas desconocidas, también permite responder en caso de un ataque aislando sistemas infectados e interceptando exploits peligrosos.

Te invitamos a seguir las redes sociales de Nova Instagram, Facebook y LinkedIn para que estes enterado de ésta y más noticias y poder ayudarte a estar protegido a través del amplio portafolio de soluciones en Ciberseguridad con el que contamos.

#Novarecomienda