Cómo se frenó un ataque de ransomware “Play” gracias a una respuesta coordinada

Ransomware Play

El ransomware sigue siendo una de las amenazas más devastadoras para las organizaciones. Uno de los actores más notorios en este ámbito es el grupo de ransomware “Play”, conocido por sus ataques altamente sofisticados. A principios de este año, el equipo de Managed Detection and Response (MDR) de Trend Micro, utilizando la plataforma Trend Micro Vision One, detectó y contuvo un intento de intrusión por parte de este grupo, demostrando la importancia de una respuesta rápida y coordinada en ciberseguridad.

Descripción del incidente de Ransomware Play

La alerta inicial se produjo cuando la herramienta de comando y control SYSTEMBC fue detectada por el agente Apex One Endpoint Protection Platform (EPP). Esta herramienta de malware se alojaba en un servidor Windows y tenía como objetivo distribuir otras cargas útiles, como ransomware. Aunque la puerta trasera fue puesta en cuarentena, los atacantes aún tenían acceso al endpoint mediante credenciales legítimas. La red privada virtual (VPN) comprometida de la víctima permitió a los atacantes desplegar la herramienta de administración legítima PsExec, utilizada para ejecutar comandos en sistemas remotos.

Los atacantes también modificaron la configuración del Protocolo de Escritorio Remoto (RDP) para habilitar el acceso, y utilizaron una herramienta personalizada llamada GRIXBA para reconocimiento de red. Esta herramienta ayudó a los atacantes a identificar otros endpoints vulnerables, demostrando la capacidad del ransomware Play de realizar ataques sigilosos y evadir detecciones de seguridad.

La Técnica “Living-Off-the-Land” y las herramientas personalizadas

El grupo de ransomware Play empleó la técnica de “living-off-the-land”, utilizando herramientas legítimas como PsExec y RDP para operar sin ser detectados. Además, usaron herramientas personalizadas como GRIXBA, diseñadas para evitar las detecciones basadas en firmas tradicionales y facilitar su intrusión. Las herramientas personalizadas brindan ventajas a los atacantes, como la evasión y el sigilo, mientras que para los defensores ofrecen oportunidades de atribución y análisis de comportamiento para comprender mejor las tácticas de los atacantes.

Respuesta y mitigación del ataque

La respuesta coordinada del equipo de Trend Micro MDR fue crucial para contener la amenaza. Mediante un monitoreo continuo y análisis en tiempo real, se lograron detectar y bloquear actividades sospechosas, como el intento de volcado de memoria del proceso LSASS, utilizando el módulo de Monitoreo de Comportamiento (BM) del agente EPP de Apex One. Esta intervención oportuna impidió que los atacantes accedieran a información confidencial y evitaron una potencial exfiltración y cifrado de datos.

Estrategias de mitigación recomendadas

Para protegerse contra ataques similares del ransomware Play, las organizaciones deben implementar una serie de medidas de seguridad esenciales:

  • Actualización y Parchado Regular: Mantener todos los sistemas y software actualizados con los parches de seguridad más recientes para cerrar posibles vulnerabilidades.
  • Segmentación de la Red: Dividir la red en segmentos para limitar la propagación de ataques y contener daños potenciales en caso de intrusión.
  • Autenticación Multifactor (MFA): Implementar MFA para acceder a sistemas y datos sensibles, añadiendo una capa adicional de seguridad contra accesos no autorizados.
  • Supervisión del Tráfico de Red: Establecer monitoreo continuo del tráfico para identificar actividades inusuales o intrusiones en tiempo real.
  • Copias de Seguridad Periódicas: Realizar copias de seguridad regulares de datos críticos y almacenarlas en ubicaciones seguras fuera de la red principal para protegerlas contra ransomware.
  • Protección de Endpoints: Utilizar soluciones robustas de protección de endpoints para detectar y bloquear actividades maliciosas en dispositivos individuales.

Implementar estas medidas puede reducir significativamente el riesgo de sufrir ataques de ransomware y proteger la integridad de los sistemas de la organización. Para obtener una guía completa sobre cómo mitigar el ransomware, consulte la guía #STOPRANSOMWARE Play Ransomware.

En resumen

La detección y contención exitosa del ataque de ransomware Play por parte de Trend Micro nos deja ver la importancia de las medidas de seguridad proactivas y de una respuesta rápida ante amenazas. Utilizando los servicios de detección y respuesta gestionada (MDR), las organizaciones pueden beneficiarse de un monitoreo continuo y una protección experta, esencial en un panorama de amenazas cada vez más sofisticado. Las defensas en capas y las estrategias de mitigación descritas son fundamentales para construir una barrera sólida contra los ataques cibernéticos.

Para mantenerte informado y protegido, sigue las redes sociales de Nova : Instagram,  Facebook y LinkedIn, donde puedes encontrar más noticias y conocer las soluciones en ciberseguridad que ofrecemos.

#NovaInforma

Protección en la era del IoT: Cómo resguardar tu empresa ante nuevas amenazas

Protege tu red del creciente riesgo del IoT. Aprende estrategias para asegurar dispositivos IoT y reducir vulnerabilidades.

La digitalización y los avances en inteligencia artificial (IA) y machine learning (ML) han impulsado el crecimiento exponencial del Internet de las Cosas (IoT). Se estima que para 2030 habrá más de 29.000 millones de dispositivos IoT conectados, una cifra que refleja la rápida adopción de esta tecnología en múltiples sectores. Sin embargo, este crecimiento también expone a las empresas a nuevos riesgos de seguridad, ampliando la superficie de ataque disponible para los ciberdelincuentes.

El riesgo creciente del IoT en la seguridad corporativa

Los dispositivos IoT ofrecen grandes beneficios en términos de eficiencia y productividad, pero también presentan graves vulnerabilidades si no se gestionan adecuadamente. Cada minuto, más de 7.600 nuevos dispositivos IoT se conectan a Internet, muchos de los cuales transmiten datos sin cifrar a través de las redes. Sin medidas de protección sólidas, estos dispositivos se convierten en puertas abiertas para los ciberdelincuentes.

Un reciente estudio reveló que entre enero y febrero de este año, el 54% de las organizaciones experimentaron una media de 60 ataques semanales relacionados con IoT, lo que representa un aumento del 41% en comparación con 2023. Ningún sector es inmune: el sector educativo lidera con 131 ataques semanales, seguido por el gobierno y la defensa (70), manufactura (49) y el sector salud (42). Estos datos muestran la necesidad urgente de reforzar la seguridad en torno a los dispositivos IoT.

Desafíos de seguridad en el IoT

La proliferación de dispositivos IoT ha ampliado drásticamente la superficie de ataque. Muchos de estos dispositivos están diseñados con un enfoque en la funcionalidad y el tiempo de comercialización, relegando la seguridad a un segundo plano. Contraseñas predeterminadas, configuraciones de seguridad deficientes, y la falta de actualizaciones de seguridad son problemas comunes. Además, la interconectividad de estos dispositivos puede generar un efecto dominó, donde un fallo en un dispositivo expone a toda la red.

El uso de protocolos de comunicación inseguros que no cifran los datos es otro problema serio. Dado que estos dispositivos manejan datos sensibles, como información médica o datos operativos, la protección de esta información y el cumplimiento de la normativa de privacidad se convierten en desafíos críticos.

Más allá del EDR: La importancia de la supervisión de red

Si bien las soluciones de Detección y Respuesta de Dispositivos (EDR) y los agentes XDR son eficaces para proteger puntos finales tradicionales, no son adecuadas para dispositivos IoT. Las limitaciones de recursos, los riesgos adicionales de seguridad, la incompatibilidad con sistemas operativos propietarios, y los costos elevados hacen que estas soluciones no sean viables para el IoT.

En su lugar, la supervisión de red se convierte en una estrategia adecuada para proteger estos dispositivos. Este enfoque ofrece visibilidad sobre todo el tráfico de la red, incluidas las actividades de los dispositivos IoT, lo que permite detectar patrones de tráfico inusuales y accesos no autorizados. Mediante la creación de reglas y alertas, las organizaciones pueden prevenir la propagación de ataques y protegerse de amenazas emergentes.

Mejores prácticas para asegurar los dispositivos IoT

La protección de los dispositivos IoT debe ser una prioridad para las organizaciones. Algunas cosas que puedes implementar para protegerlos son:

  • Identificar y catalogar todos los dispositivos IoT conectados a tu red.
  • Realiza escaneos periódicos para identificar dispositivos no autorizados o vulnerabilidades.
  • Aísla los activos críticos de los dispositivos IoT para contener posibles amenazas.
  • Limita el tráfico a los puertos esenciales y bloquea el resto mediante reglas de firewall.

Además, aplicar prácticas como actualizaciones regulares de firmware, contraseñas fuertes, cifrado de red, y el uso de estándares de seguridad reconocidos. Implementar controles de acceso estrictos y establecer un Centro de Operaciones de Seguridad (SOC) para una supervisión continua son pasos importantes para proteger tu red.

Nuestro CyberSOC Nova, un SOC completamente basado en nube puede ayudarte con estas y otras medidas de ciberseguridad para fortalecer tu estrategia.

Preparándote para el futuro del IoT

El IoT ha llegado para quedarse, y con su expansión, también aumenta la superficie de ataque. Las empresas deben ser proactivas en la gestión de estos riesgos para evitar que los dispositivos IoT se conviertan en puntos de acceso fáciles para los atacantes. Adoptando las mejores prácticas de seguridad y comprendiendo los desafíos específicos del IoT, es posible proteger los ecosistemas digitales frente a un panorama de amenazas en constante cambio. En la era del IoT, la concienciación y la prevención son nuestras mejores defensas.

Para mantenerte informado y protegido, sigue las redes sociales de Nova : Instagram,  Facebook y LinkedIn, donde puedes encontrar más noticias y conocer las soluciones en ciberseguridad que ofrecemos.

#NovaInforma

Control de contabilidad, gestión de activos y conocimiento

gestión de contabilidad y gestión de activos y conocimiento Proactivanet

En un entorno empresarial donde la tecnología es clave para la competitividad, gestionar adecuadamente los activos tecnológicos y los conocimientos internos se ha vuelto imprescindible. Proactivanet ofrece soluciones integrales que no solo optimizan la contabilidad y la gestión de activos, sino que también mejoran la eficiencia operativa mediante la gestión del conocimiento. En este artículo, exploraremos cómo estas herramientas pueden fortalecer la estructura financiera y operativa de tu empresa.

Gestión de activos tecnológicos: Una necesidad estratégica

Las finanzas corporativas se basan en la gestión eficiente de los activos, pasivos y el capital contable. En el contexto actual, donde la tecnología juega un papel crucial, es vital llevar un control detallado de los activos tecnológicos. Esto no solo incluye saber cuándo renovar el parque tecnológico o qué equipos están en garantía, sino también diferenciar los activos según las áreas operativas de la empresa.

Proactivanet ITAM (Gestión de Activos) se presenta como una solución ideal para mantener un registro actualizado de todos los activos tecnológicos. Este sistema permite a las empresas tener una visión clara y centralizada de sus activos, lo que facilita la planificación de actualizaciones, la gestión de garantías y la optimización de recursos. La transparencia y el control que ofrece ITAM son fundamentales para una contabilidad precisa y una gestión financiera eficiente.

ITSM: Mejora de la gestión de incidencias y requerimientos

La eficiencia operativa es otro aspecto crítico en el éxito empresarial. Las interrupciones y problemas técnicos pueden ralentizar las operaciones y afectar la productividad. Aquí es donde entra en juego el sistema ITSM de Proactivanet, diseñado como un Service Desk que gestiona incidencias y requerimientos de manera eficiente.

Este sistema no solo mejora la atención interna a las problemáticas diarias, sino que también optimiza los procesos de resolución, reduciendo tiempos de inactividad y mejorando la satisfacción del cliente interno. Contar con un sistema ITSM bien implementado es esencial para garantizar que las operaciones tecnológicas de la empresa funcionen sin contratiempos.

Gestión del conocimiento: Potencia tu CMDB

Una de las herramientas más valiosas que ofrece Proactivanet es su módulo de Gestión del Conocimiento (CMDB). Este sistema permite guardar y categorizar las solicitudes más frecuentes, creando una base de conocimientos que facilita la resolución rápida de problemas.

Para mantener una CMDB precisa y útil, es necesario un esfuerzo continuo y la aplicación de buenas prácticas. Aquí te presentamos algunas recomendaciones clave:

Integración con Discovery y Gestión de Activos: Asegura que los datos en tu CMDB estén siempre actualizados mediante la automatización y la integración con herramientas de descubrimiento y gestión de activos.

  • Aprovecha los Tickets: Cada incidente registrado es una oportunidad para enriquecer tu base de datos, aportando información valiosa que puede ser reutilizada en el futuro.
  • Valora el Talento del Equipo: Un equipo bien capacitado es fundamental para mantener la precisión y relevancia de la CMDB.
  • Monitoreo y Métricas: Implementa un sistema de monitoreo que te permita evaluar la efectividad de tu CMDB y hacer ajustes cuando sea necesario.

Con estas prácticas, tu empresa no solo incrementará el valor del negocio, sino que también minimizará los riesgos asociados con la gestión de datos inexactos o desactualizados.

Para mantenerte informado y protegido, sigue las redes sociales de Nova : Instagram,  Facebook y LinkedIn, donde puedes encontrar más noticias y conocer las soluciones en ciberseguridad que ofrecemos.

#NovaInforma

Respuesta autónoma a incidentes de ciberseguridad

Respuestas Autónomas a Incidentes de Ciberseguridad con Tanium

Hoy en día las amenazas cibernéticas están a la orden del día y son cada vez más sofisticadas y frecuentes, la capacidad de respuesta rápida y eficaz a los incidentes de ciberseguridad es vital para mantener la resiliencia organizacional. Las soluciones de respuesta automatizada en tiempo real, se han convertido en una herramienta esencial para los equipos de TI y seguridad. Estas soluciones no solo agilizan las operaciones de seguridad, sino que también proporcionan una administración autónoma de endpoints o terminales.

Precisión y adaptabilidad en la respuesta a incidentes

La clave del éxito en la gestión de ciber incidentes radica en la precisión y adaptabilidad de las respuestas. Herramientas como Tanium permite adaptar las respuestas a las características específicas de cada amenaza detectada, garantizando que cada acción tomada sea apropiada y efectiva. Al automatizar las acciones críticas de respuesta y ajustarlas a las particularidades de cada amenaza, los equipos de seguridad pueden actuar con rapidez y precisión, minimizando el impacto de los incidentes.

Interrupción y respuesta a ataques en tiempo real

Con la funcionalidad de Endpoint Reactions de Tanium, las capacidades de respuesta a incidentes se ven significativamente mejoradas. Esta herramienta ofrece respuestas automatizadas en tiempo real, adaptadas a incidentes de seguridad específicos. Cuando se detecta una amenaza basada en indicadores de compromiso (IOC) o reglas YARA, Tanium Threat Response acelera la mitigación y remediación de amenazas mediante la ejecución automática de varias acciones, incluyendo:

  • Poner en cuarentena el endpoint afectado: Aislar los sistemas comprometidos para evitar la propagación de actividades maliciosas a través de la red.
  • Terminar procesos dañinos: Eliminar de forma segura procesos maliciosos, asegurando que los archivos binarios críticos para el sistema no se vean afectados, preservando así la estabilidad de las operaciones esenciales.
  • Eliminar archivos peligrosos o relacionados con ataques: Descarta los archivos maliciosos para eliminar amenazas y restaurar la seguridad de los sistemas afectados.

Beneficios de las soluciones automatizadas de Tanium

Al interrumpir inmediatamente las actividades maliciosas y prevenir su propagación, las soluciones automatizadas de Tanium garantizan un rápido retorno a las operaciones normales y minimizan los daños potenciales. Estas capacidades no solo mejoran la eficiencia de los equipos de seguridad, sino que también fortalecen la postura de seguridad general de la organización. La administración autónoma de endpoints, junto con la capacidad de respuesta en tiempo real, posiciona a Tanium como una herramienta indispensable en la defensa contra amenazas cibernéticas.

En un entorno donde cada segundo cuenta, contar con herramientas que ofrezcan respuestas autónomas y precisas es fundamental. Tanium proporciona a los equipos de TI y seguridad una ventaja significativa, permitiendo una respuesta proactiva y eficiente a los incidentes de ciberseguridad. La combinación de precisión, adaptabilidad y automatización de Tanium no solo optimiza la gestión de incidentes, sino que también asegura la continuidad operativa y la protección integral de los activos digitales de la organización.

Para mantenerte informado y protegido, sigue las redes sociales de Nova : Instagram,  Facebook y LinkedIn, donde puedes encontrar más noticias y conocer las soluciones en ciberseguridad que ofrecemos.

#NovaInforma

Innovación en ciberseguridad: La clave de la resiliencia cibernética

Resiliencia Palo Alto Networks

Hoy, la resiliencia cibernética se ha convertido en un pilar fundamental para la continuidad y seguridad de las operaciones empresariales. Un reciente estudio realizado por IDC y Palo Alto Networks, que encuestó a 735 organizaciones en Europa, África, Medio Oriente y Latinoamérica, revela datos alarmantes sobre el estado de la ciber resiliencia. Solo el 38% de los Directores de Seguridad de la Información (CISO) consideran que sus empresas tienen una ciber resiliencia madura, evidenciando la urgente necesidad de mejorar las estrategias de ciberseguridad a nivel global.

Transformación Digital y Seguridad

La rápida evolución de los sistemas tecnológicos ha transformado significativamente los enfoques de seguridad en las empresas. La migración de procesos de comunicación y almacenamiento de información a la nube o sistemas híbridos ha incrementado tanto las amenazas de ciberseguridad como la necesidad de soluciones avanzadas para su detección y prevención. Empresas como Palo Alto Networks, que inicialmente se enfocaban en la protección de entornos tradicionales, han desarrollado nuevas soluciones de seguridad con un enfoque integral que proporciona herramientas robustas para evitar incidentes de ciberseguridad.

Entendiendo la Resiliencia Cibernética

La resiliencia cibernética se define como la capacidad de anticipar, resistir y recuperarse de cambios o fallos en los sistemas de seguridad. Esta habilidad es vital para asegurar la continuidad del negocio, alcanzar objetivos comerciales y mantener la reputación de las organizaciones.

Percepciones y Desafíos

El estudio indica que un 41% de las compañías ve la resiliencia cibernética como un área de oportunidad, mientras que solo un 37% la considera un componente completamente desarrollado. Un preocupante 22% de las empresas no lo ve como una prioridad. Daniela Menéndez, Country Manager de Palo Alto Networks en México, destaca la importancia de no solo adquirir soluciones de ciberseguridad, sino también de probarlas frecuentemente para asegurar su efectividad y prevenir fallos

En Brasil y México, se observa un interés significativo en la resiliencia cibernética. Sin embargo, solo el 20% de las empresas prueba regularmente sus planes de recuperación, y el 14% de los CISO no tiene un plan en ejecución, mostrando una gran oportunidad para mejorar la ciberseguridad en la región. En México, las prioridades incluyen la seguridad en la nube, redes y endpoints, aunque solo el 28% de los CISO realiza pruebas periódicas de sus planes de recuperación.

Innovaciones de Palo Alto Networks

Las soluciones de Palo Alto Networks abordan los desafíos planteados por el avance de la red 5G y la digitalización creciente, que aumentan la superficie de ataque. La empresa emplea inteligencia artificial (IA) generativa y predictiva para mejorar la prevención de ataques, detección de amenazas y remediación de vulnerabilidades. Sus soluciones impulsadas por IA identifican amenazas en 10 segundos y responden en solo 1 segundo, demostrando un enfoque resiliente que mejora la eficiencia y efectividad en la protección contra ciberataques.

Impacto de la IA en el Mercado Laboral

La integración de la IA en la ciberseguridad está transformando el mercado laboral y los flujos de trabajo. Se espera que la IA automatice muchas tareas repetitivas, permitiendo que los profesionales de la ciberseguridad se concentren en cuestiones estratégicas y complejas. Sin embargo, también hay preocupaciones sobre el uso malicioso de la IA y la necesidad de desarrollar nuevas habilidades para trabajar eficazmente con estos sistemas.

Para mitigar los riesgos asociados con la IA, es esencial adoptar un enfoque holístico que incluya pruebas rigurosas, auditorías periódicas y supervisión humana. La transparencia y las consideraciones éticas deben ser prioritarias en el desarrollo y despliegue de sistemas de seguridad basados en IA.

Para mantenerte informado y protegido, sigue las redes sociales de Nova : Instagram,  Facebook y LinkedIn, donde puedes encontrar más noticias y conocer las soluciones en ciberseguridad que ofrecemos.

#NovaInforma