El tamaño importa: desentrañando la estructura de las organizaciones modernas de ciberdelincuencia.

De acuerdo con la actividad de seguimiento de Trend Micro, exploraron tres grupos criminales de diferentes tamaños para determinar cómo se comparan con negocios legítimos de tamaño similar en términos de cómo están organizados. También se discutieron las ventajas de conocer el tamaño objetivo de una organización de ciberdelincuencia para los investigadores de delitos cibernéticos.

El panorama de las amenazas cibernéticas en las últimas dos décadas ha evolucionado claramente: desde una era de ataques cibernéticos impulsados principalmente por investigaciones ofensivas con cargas destructivas, el espacio del crimen cibernético se ha convertido en un terreno fértil para los actores malintencionados que se han organizado en grupos para buscar ganancias financieras colectivamente.

Apostar por un reclamo decisivo en un mercado enormemente lucrativo ha motivado a una nueva generación de ciberdelincuentes a adaptarse y organizarse de maneras que tienen un parecido sorprendente con las corporaciones legítimas. La investigación revela que a medida que aumentan la membresía y los ingresos de los grupos de delitos cibernéticos, se crean capas de jerarquía en el proceso, lo que hace que su estructura organizativa sea más compleja.

Eso viene a resultar en un par de pregunta importantes dentro de este estudio que realiza Trend Micro y son las siguientes:

El tamaño importa: ¿Existen las sociedades de ciberdelincuencia? ¿Por qué es importante?

Las organizaciones delictivas, como cualquier otro grupo humano, tienden a hacerse más complejas a medida que crecen. Esta complejidad se manifiesta a medida que un grupo forma grupos similares a departamentos, con directivos al mando que dependen de otros situados más arriba en la jerarquía. Esto ya lo sabemos por las empresas y sus subdivisiones departamentales:

Los grupos de ciberdelincuentes suelen organizarse como empresas. Las estructuras más complejas evolucionan a medida que un grupo aumenta sus ingresos y su número de miembros.
Los grandes grupos delictivos son muy complejos en su forma de organizarse, pero no hay muchos. La mayor parte del panorama está formada por equipos muy pequeños de delincuentes que obtienen ingresos moderados. Estos pequeños grupos se componen de unos pocos miembros que operan bajo un modelo de asociación.

Los grupos delictivos más grandes tienen departamentos similares a los de las empresas, como los de recursos humanos (RRHH) y tecnología de la información (TI), entre otros. Incluso pueden tener programas para empleados, como el reconocimiento de un empleado ejemplar del mes y evaluaciones de rendimiento.

Las grandes organizaciones delictivas se distinguen no sólo por su tamaño, sino también porque suelen ser más difíciles de gestionar, se enfrentan a más problemas políticos y tienen que lidiar con más delincuentes de bajo rendimiento. Tienen que lidiar con más problemas de confianza, además de gestionar los gastos generales derivados del tamaño de sus operaciones. Crecer sin abordar estas cuestiones afecta negativamente a una organización delictiva a largo plazo.

Los grupos delictivos pequeños suelen estar formados por un jefe de equipo, un codificador, un responsable de apoyo y un administrador de red. Con una plantilla tan reducida, cada uno suele desempeñar múltiples funciones además de las responsabilidades habituales, como la publicidad, la contratación y el manejo del dinero.

Ejemplos

Un ejemplo de pequeña empresa de éxito es Yalishanda. Se trata de uno de los proveedores de servicios de alojamiento a prueba de balas más populares en la comunidad clandestina, según un análisis de Brian Krebs, y se cree que está dirigido por sólo dos personas.

Las empresas delictivas medianas tienen una estructura más jerárquica, como las que suelen encontrarse en las empresas legales. Suelen tener un organigrama piramidal que describe la autoridad dentro de la organización, con una persona en la cima que está al mando de toda la empresa.

Un ejemplo de empresa criminal mediana es el grupo GozNym. En mayo de 2019, 10 personas fueron acusadas de este grupo. Según el escrito de acusación, el equipo estaba formado por un líder, un desarrollador, criptógrafos, un especialista en la toma de control de cuentas, un cajero, un administrador técnico, un asistente principal, un “cobrador” o “drop master”, un administrador de un servicio de alojamiento a prueba de balas y spammers4.

Las grandes empresas delictivas tienen estructuras muy jerarquizadas, seguidas de un número cada vez mayor de mandos inferiores y supervisores. La organizaciones delictivas grandes están mucho más estructuradas que las medianas. Las grandes empresas exitosas demuestran asociaciones efectivas con otros, exhiben liderazgo e implementan seguridad operativa (OPSEC). Las grandes organizaciones delictivas son más capaces de competir con otros actores de la ciberdelincuencia que las pequeñas empresas y pueden operar una o más instalaciones físicas. También suelen contratar a más empleados y generar ingresos considerables.

Tambien

Como uno de los grupos de ransomware más prolíficos y notorios de la historia reciente responsable de muchos ataques de alto perfil, elegimos a Conti para examinar el funcionamiento interno de una gran empresa criminal. Conti es un destacado proveedor de ransomware-as-a-service (RaaS) ampliamente considerado como el sucesor del ransomware Ryuk. Los operadores de Conti se han ganado la infamia por su hábil uso de las técnicas de doble extorsión y se sabe que venden accesos a organizaciones de víctimas que se negaron a negociar, además de publicar datos robados.

Independientemente del tamaño, las organizaciones son vulnerables a los ataques de malware modernos, considerados como una de las amenazas importantes para la salud empresarial ahora y en el futuro previsible. Los actores maliciosos tienen todos los motivos para actualizar constantemente su arsenal de malware, idear esquemas más sigilosos para superar a la competencia y obtener una mayor parte de la recompensa. Por lo tanto, es clave una mentalidad proactiva para mitigar los riesgos de los ataques de malware. Recomendamos adoptar las siguientes soluciones de ciberseguridad:

Recomendación

Trend Micro Email Security y Vision One incluida dentro del portafolio de soluciones de seguridad de Nova, son soluciones que nos ayudan a gestionar la ciberprotección en un panorama de amenazas que evolucionan continuamente y nos pueden ayudar a tener una protección todo en uno automatizada y detallada, dentro de la cual Trend Micro Email Security™ ofrece protección continuamente actualizada contra BEC, ransomware, spam y ataques dirigidos avanzados y Trend Micro Vision One™ ofrece una perspectiva más amplia y un mejor contexto para detectar amenazas con las capacidades de XDR líderes de la industria.

Con Trend Micro Email Security, los administradores de correo configuran políticas para gestionar los mensajes de correo electrónico en función de las amenazas detectadas. Por ejemplo, los administradores pueden eliminar el malware detectado de los mensajes entrantes antes de que lleguen a la red corporativa o poner en cuarentena el spam detectado y otros mensajes inapropiados.

Además, Trend Micro Email Security ofrece Email Continuity contra eventos de tiempo de inactividad planificados o no planificados, lo que permite a los usuarios finales continuar enviando y recibiendo mensajes de correo electrónico en caso de una interrupción.

Dentro de las características principales que nos puede ofrecer se encuentran las siguientes:

Protección por capas: Proporciona una protección completa contra el phishing, el spam y el graymail con múltiples técnicas, como el análisis del remitente, del contenido y de las imágenes, el aprendizaje automático, etc.
Protección contra el fraude por correo electrónico: Protege contra las estafas BEC con aprendizaje automático mejorado y reglas expertas para analizar tanto el encabezado como el contenido del correo electrónico. Incluye Trend Micro™ Writing Style DNA como capa adicional para llevar a cabo el análisis de autoría para la protección BEC. (Se requiere una licencia de Trend Micro™ Cloud App Security para Writing Style DNA)
Protección contra exploits de documentos: Detecta el malware avanzado y los exploits en PDF, Microsoft Office y otros documentos mediante una lógica estática y heurística para detectar y examinar las anomalías.
Protección avanzada contra amenazas: Descubre el malware desconocido mediante múltiples técnicas sin patrones, incluido el aprendizaje automático previo a la ejecución y la tecnología de sandbox de primera categoría de Trend Micro™ Deep Discovery™ para el análisis dinámico de archivos adjuntos potencialmente maliciosos o URLs incrustadas en un entorno virtual seguro.
Extracción de contraseñas de archivos: Extrae o abre heurísticamente archivos protegidos por contraseña aprovechando una combinación de contraseñas definidas por el usuario y el contenido de los mensajes.
Tiempo de clic en la URL: Bloquea los correos electrónicos con URLs maliciosas antes de su entrega y vuelve a comprobar la seguridad de la URL cuando el usuario hace clic en ella.
Verificación y autenticación de la fuente: Incluye Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM), Domain-based Message Authentication, Reporting, and Conformance (DMARC).

De igual forma aproveche las técnicas de detección avanzadas para detectar y responder proactivamente ante las amenazas antes de que realicen cualquier daño. Gracias a Trend Micro Vision One™, obtiene capacidades XDR con funcionalidad completa para profundizar en las capacidades de detección, investigación y respuesta, para que pueda ampliarlas en múltiples capas de seguridad para una mayor visibilidad y respuesta ante amenazas que impactan en toda la organización.

Síguenos en nuestras redes sociales Nova Instagram, Facebook y LinkedIn para más contenido de cibersguridad.

5 abril, 20235 abril, 2023

Fin del soporte técnico para Office 2013

El soporte técnico para Office 2013 finalizará el 11 de abril de 2023 y no habrá ninguna extensión ni actualizaciones de seguridad extendidas. Todas las aplicaciones de Office 2013 seguirán funcionando. Sin embargo, podría exponerse a riesgos de seguridad graves y potencialmente dañinos.

¿Qué significa la finalización del soporte técnico para Office 2013 después del 11 de abril de 2023?

Microsoft ya no proporcionará soporte técnico, correcciones de errores ni correcciones de seguridad para vulnerabilidades de Office 2013 que se puedan notificar o detectar posteriormente. Esto incluye actualizaciones de seguridad que pueden ayudar a proteger el equipo contra virus dañinos, spyware y otro software malintencionado.

Ya no recibirá actualizaciones de software de Office2013 de Microsoft Update.

Ya no recibirá soporte técnico por teléfono o chat.

No se proporcionarán más actualizaciones para el contenido de soporte técnico y se retirará la mayoría del contenido de ayuda en línea.

¿Cuáles son mis opciones?

Las opciones de actualización dependerán de si usa Office 2013 en casa o si su versión de Office2013 está administrada por el departamento de TI o el administrador de TI en su trabajo o escuela.

Office 2013 en casa

Si usa Office 2013 en casa (por ejemplo, Office Hogar y Estudiantes 2013 u Office Hogar y Empresas 2013), aún podrá usarlo, pero le recomendamos que actualice a una versión más reciente de Office para que pueda mantenerse al día con todas las características más recientes, revisiones y actualizaciones de seguridad.

¿Cómo podemos ayudarte?

¡Proactivanet es el aliado que necesitas! Con Discovery y Gestión de Activos podrás detectar qué equipos se verían afectados por este cambio para que puedas proceder a la actualización a la última versión, disminuyendo así tus riesgos de seguridad.

Discovery & Gestión de Activos y Proveedores

¿Qué es?

Proactivanet Discovery & Gestión de Activos y Proveedores permite conocer al instante y de manera exhaustiva el inventario de todo el parque informático (hardware, software, dispositivos de red,…), así como sus licencias de software y configuración de una manera totalmente automática y desatendida: 110% de su parque descubierto de manera automática, sin necesidad de invertir esfuerzo ni realizar tediosas tareas manuales, favoreciendo un importante ahorro de costes y mejora en la seguridad de la infraestructura.

Además, la Gestión de Proveedores y Contratos permite el seguimiento y control de todos los proveedores y contratos, tanto para la compra de hardware y software, como para la contratación de servicios.

Beneficios

– 110% Control del parque

– 32% de ahorro anual en licencias

– 50% tiempo resolución incidencias

– Disminuye riesgos para la seguridad de la información.

– Mejora la toma de decisiones para las inversiones en infraestructura.

– Mejora la productividad de tus técnicos.

– Simplifica la transformación digital.

¿Te preocupa el fin del soporte técnico para Office 2013? Con Proactivanet, podrás detectar rápidamente qué equipos necesitan actualizarse y hacer la transición sin problemas. ¡Contáctanos ahora y despreocupate!

Síguenos en nuestras redes sociales Nova Instagram, Facebook y LinkedIn para más contenido de cibersguridad.

29 marzo, 202311 abril, 2023

Cómo proteger a tu empresa de NAPLISTENER y otros ataques de ciberseguridad

Las empresas deben estar alerta a las nuevas amenazas como NAPLISTENER que surgen cada día en el mundo digital. Hoy en día, los ciberdelincuentes se han vuelto más sofisticados en sus ataques y están utilizando nuevas herramientas, tácticas para infiltrarse en las redes empresariales y robar información confidencial. En este sentido, el reciente informe sobre el grupo de actividad de amenazas REF2924 es preocupante.

Este grupo, que ha sido conocido por atacar a países como Afganistán y miembros de ASEAN, ha sido observado desviando sus motivos del espionaje de datos a la persistencia de acceso dentro de las redes objetivo. Para lograr esto, han añadido una nueva herramienta a su arsenal llamada NAPLISTENER.

Según los investigadores de Elastic Security Labs, REF2924 está utilizando NAPLISTENER para atacar entidades en el sur y sudeste de Asia. NAPLISTENER es una amenaza tipo back door que finge ser el legítimo “Microsoft Distributed Transaction Coordinator” para evadir la detección y establecer la persistencia. Crea un “Listener” de solicitud HTTP para aceptar y procesar las solicitudes entrantes, y filtra los comandos de malware para que puedan mezclarse con el tráfico web legítimo. Además, lee los datos presentados, los decodifica y los ejecuta en memoria.

Es importante destacar que, según el análisis del código fuente de NAPLISTENER, el grupo ha tomado prestado el código del proyecto de GitHub de código abierto SharpMemshell. Además de NAPLISTENER, REF2924 ha estado utilizando varias herramientas adicionales durante sus recientes campañas. Estos incluyen SIESTAGRAPH, DOORME y ShadowPad, que se enfocan en el despliegue de varias puertas traseras en los servidores Microsoft Exchange expuestos a Internet.

Ante esta situación, es recomendable que las empresas adopten medidas preventivas adecuadas para proteger sus redes. La solución EDR de Trend Micro es una opción eficaz para detectar y responder a las amenazas de forma proactiva en los puntos finales. Esta solución monitorea el comportamiento de los archivos en tiempo real y utiliza inteligencia artificial para identificar patrones de comportamiento malicioso y prevenir ataques antes de que ocurran.

La amenaza de REF2924 es una señal de alarma para las empresas en todo el mundo. Es fundamental estar al tanto de las últimas tácticas y herramientas utilizadas por los ciberdelincuentes y tomar medidas preventivas adecuadas para proteger las redes empresariales. La solución EDR de Trend Micro es una opción confiable para garantizar la seguridad de la red y prevenir ataques de ciberdelincuentes.

Si desea obtener más información sobre cómo proteger su empresa de las amenazas cibernéticas, contáctenos. Nuestro equipo de expertos en ciberseguridad está listo para ayudarlo a proteger su empresa y garantizar la seguridad de su información confidencial.

Síguenos en nuestras redes sociales Nova Instagram, Facebook y LinkedIn para más contenido de cibersguridad.

22 marzo, 202317 marzo, 2023

Los ciberataques más impactantes de 2022

¿Qué medidas debemos tener en cuenta en este 2023 para protegernos de ciberataques?

La semana pasada hablábamos de algunos ciberataques que impactaron gravemente a miles de empresas en el pasado, en esta ocasión analicemos algunos ejemplos más recientes ¿Cuáles fueron los ciberataques más importantes de 2022? Y ¿Qué debemos aprender para mejorar nuestra estrategia de ciberseguridad?

UBER

Uno de los ataques más grandes del año pasado y del cual ya hablamos en este blog es el ataque a Uber a manos del grupo Lapsus$, sin mencionar el hecho de que fue llevado a cabo por un adolescente, este fue uno de los golpes más grandes que ha vivido la empresa.

El atacante obtuvo acceso a la VPN de la compañía a través de un código malicioso ejecutable que comprometió la autenticación multifactorial del sistema. El caso dejó en evidencia la necesidad de implementar principios como “zero trust” con el mínimo de accesos necesarios y de implementar monitoreo automatizado para detección temprana de intrusiones cibernéticas e identificar cualquier comportamiento inusual.

SEDENA

El siguiente ejemplo sucedió aquí en México, se trata del hackeo de la Secretaría de Defensa Nacional de México, en el cuál se filtraron 4 millones de correos electrónicos, lo que originó preocupación en la reunión bilateral sobre temas de seguridad entre México y Estados Unidos. Este ataque dirigido específicamente a la infraestructura militar mexicana dejó en evidencia la necesidad de un centro de coordinación y respuesta a emergencias cibernéticas, ligado a los sistemas de defensa nacional, implementar protocolos de monitoreo e identificación, mejorar las prácticas de resiliencia, proporcionar políticas, recursos, capacidad de respuesta de manera pronta, efectiva y contundente es vital para prevenir y mitigar ciberataques.

OPTUS

Y el último ejemplo del que hablaremos es el hackeo australiano de Optus, quienes tras declarar públicamente que la seguridad cibernética era su prioridad, sufrieron una intrusión a sus sistemas y acceso no autorizado a las bases de datos de hasta 10 millones de personas. El hackeo a través de la interfaz de programación de aplicaciones (API) dejó en evidencia la necesidad de evaluar los riesgos de seguridad en software y hardware para resolverlos lo antes posible.

Queda claro que las empresas e incluso los gobiernos necesitan mejorar su ciberseguridad, esto se puede lograr implementando soluciones tecnológicas a la vanguardia que permitan construir una estrategia con visibilidad completa de sus sistemas, además de que permita identificar rápidamente cualquier vulnerabilidad o amenaza.

Recomendación ante ciberataques.

Tanium es una plataforma de seguridad cibernética que puede ayudar a las organizaciones en lo antes mencionado.

Para tener una estrategia de ciberseguridad sólida con Tanium, se recomienda lo siguiente:

Contar con un inventario completo de activos: Tanium se puede implementar en todos los dispositivos, lo que permite tener una visibilidad completa de la red, y así detectar cualquier actividad maliciosa.

Monitorear constantemente los dispositivos: Tanium permite monitorear constantemente los dispositivos en tiempo real, lo que ayuda a identificar cualquier amenaza o actividad sospechosa.

Automatizar la gestión de parches: Tanium puede ayudar a automatizar la gestión de parches, lo que permite mantener todos los sistemas actualizados y protegidos contra vulnerabilidades conocidas.

Realizar auditorías de seguridad: Tanium puede ayudar a realizar auditorías de seguridad, lo que permite identificar posibles vulnerabilidades y definir políticas de seguridad más efectivas.

Te invitamos a seguir las redes sociales de Nova Instagram, Facebook y LinkedIn para que estes enterado de ésta y más noticias y poder ayudarte a estar protegido a través del amplio portafolio de soluciones en Ciberseguridad con el que contamos.

15 marzo, 202315 marzo, 2023

Los 3 ciberataques más impactantes de la historia

¿Cómo proteger a tu empresa si alguno se repite?

La ciberseguridad es un tema cada vez más importante en el mundo digital en el que vivimos. Los ciberataques son una amenaza constante para empresas de todos los tamaños y sectores. En este artículo, exploraremos los 3 ciberataques más impactantes de la historia y cómo evitar que tu empresa sea víctima de un ataque similar. Aprenderemos de los errores de otros para proteger mejor tu negocio.

Stuxnet:

Stuxnet es un gusano informático que se hizo famoso en 2010 cuando se descubrió que fue utilizado para atacar el programa nuclear de Irán. El gusano fue diseñado para dañar específicamente las centrifugadoras que se utilizan para enriquecer uranio en las instalaciones nucleares de Natanz. Se propaga a través de dispositivos USB infectados y aprovecha varias vulnerabilidades de Windows para infectar el sistema. Se cree que el gusano fue creado por Estados Unidos y/o Israel.

WannaCry:

WannaCry es un ransomware que se propagó en todo el mundo en mayo de 2017. El malware aprovechó una vulnerabilidad en el protocolo de comunicación SMB de Microsoft Windows para propagarse por las redes. Una vez que infectó un sistema, cifraba los archivos del usuario y exigía un rescate en Bitcoin para descifrarlos. El ataque afectó a más de 200,000 computadoras en 150 países. Se cree que los responsables fueron hackers norcoreanos.

Equifax:

En septiembre de 2017, Equifax, una de las tres principales agencias de informes crediticios de Estados Unidos, anunció que había sido víctima de un ciberataque. Los atacantes explotaron una vulnerabilidad en el software Apache Struts utilizado por la compañía para robar información personal de más de 147 millones de personas, incluyendo nombres, direcciones, fechas de nacimiento y números de seguridad social. El ataque tuvo un impacto significativo en la reputación de Equifax y se espera que tenga ramificaciones a largo plazo para la compañía y las personas cuyos datos fueron robados.

Recomendación para evitar ser víctima de ciberataques como estos:

La mejor manera de evitar ser víctima de un ciberataque es tener una estrategia de ciberseguridad sólida. Esto significa implementar medidas de seguridad física, lógica, incluyendo la actualización regular de los sistemas y software, el uso de contraseñas seguras, la implementación de políticas de seguridad de la información y la capacitación del personal en prácticas de seguridad. También es importante tener una estrategia de recuperación de desastres en caso de que ocurra un ataque. Esto incluye realizar copias de seguridad de datos, sistemas críticos y tener un plan para restaurarlos en caso de una interrupción del servicio. En general, prevenir y estar preparado son factores fundamentales para protegerse de los ciberataques.

Una forma de complementar esta estrategia es contando con un CyberSOC, en Nova ofrecemos servicios de monitorización continua, identificación temprana de amenazas, gestión de incidentes y asesoría de seguridad gracias a nuestro CyberSOC powered by Cyrebro.

Se trata de un Centro de Operaciones de Ciberseguridad altamente especializado (Cybersoc) que ayuda a las empresas a protegerse contra ciberataques. Ofrecemos una solución integrada de monitorización de seguridad, detección de amenazas, gestión de incidentes y análisis de riesgos. Con nuestro CyberSOC, las empresas pueden detectar y responder rápidamente a las amenazas de seguridad cibernética, lo que les permite proteger mejor sus activos digitales y mantener la continuidad del negocio.

Vale la pena echarle un ojo a esta valiosa herramienta.

9 marzo, 20239 marzo, 2023

Palo Alto Nova: Una interesante solución de seguridad para empresas

Entérate de los detalles del nuevo sistema operativo Palo Alto Nova

Nova permite a las organizaciones estar un paso enfrente de las amenazas de día 0, al mismo tiempo simplifica las arquitecturas de seguridad y reduce el riesgo de una configuración complicada y con errores.

Hace poco hablábamos en otro artículo sobre el aumento de volumen y complejidad de las amenazas cibernéticas, cada vez hay más y nuevas formas de evitar la detección, PAN-OS® 11.0 Nova ayuda incluso con el malware altamente evasivo.

Nova es la última versión del software PAN-OS líder en la industria, que libera más de 50 actualizaciones e innovaciones de productos. Entre ellos se encuentran el nuevo servicio de seguridad en la nube Advanced WildFire® que brinda una protección sin precedentes contra el malware evasivo y el servicio Advanced Threat Prevention (ATP) que ahora protege contra ataques de día cero.

“Tras el aumento en muestras de malware únicas como Brute ratel en el último año, se requiere un nuevo enfoque para detectar malware avanzado” mencióna Anand Oswal, vicepresidente senior de seguridad de redes de Palo Alto.

PAN-OS 11.0 Nova es la evolución en la seguridad de la red. Detiene un 26 % más de malware de día cero que los sandbox tradicionales ydetecta un 60 % más de amenazas, además simplifica la arquitectura de seguridad y ayuda a las organizaciones a adoptar las mejores prácticas de ciberseguridad. El resultado final es que Nova ayuda a mantener a las organizaciones un paso por delante de los atacantes.

Estas son algunas características que ofrece Palo Alto Nova.

Advanced WildFire: el malware moderno es muy evasivo y tiene en cuenta la zona de pruebas. Para resolver este problema, los sandbox deben evolucionar continuamente para frustrar las técnicas de evasión resistentes al análisis. Este servicio está preparado con nuevas capacidades como el análisis inteligente de la memoria en tiempo de ejecución, además observa sigilosamente y se mantiene oculto del malware, la forma perfecta de vencer evasiones avanzadas.

Prevención avanzada de amenazas (ATP): el servicio ATP mejorado reinventa el sistema de prevención de intrusiones (IPS) con las primeras capacidades en línea de la industria para detener los ataques de inyección de día cero.

Palo Alto Nova no solo sienta las bases para la seguridad de la red de hoy en día mediante la protección continua contra las amenazas de día cero, sino que también eleva el nivel de cómo las organizaciones pueden mejorar de manera proactiva la higiene cibernética y simplificar las arquitecturas de seguridad.

22 febrero, 202311 abril, 2023

Beneficios de una solución de detección y respuesta (XDR)

¿Qué es la detección y respuesta extendidas (XDR)?

A medida que la infraestructura en la nube y el trabajo remoto se vuelven más frecuentes, solo una plataforma integrada como Extended Detection and Response (XDR) puede proporcionar la visibilidad y la mitigación automatizada necesarias para todos los activos.

El panorama de las amenazas cibernéticas está evolucionando y expandiéndose rápidamente. En respuesta, muchas organizaciones están trabajando para fortalecer sus capacidades de seguridad para que puedan detectar y responder de manera efectiva y eficiente a ataques únicos, sofisticados y rápidos.

El enfoque más común para una plataforma de seguridad es un enfoque “en capas”, en el que una organización implementa múltiples soluciones, incluido el descubrimiento y respuesta de puntos finales (EDR), el análisis de tráfico de red (NTA) y la administración de eventos e información de seguridad (SIEM), para implementar la defensa en profundidad en una variedad de plataformas diferentes (escritorios, nube, IoT, móvil, etc.). Si bien este enfoque puede ser efectivo para detectar y responder a las amenazas cibernéticas, también tiene sus limitaciones.

XDR (Extended Detection and Response) sigue un enfoque diferente. En lugar de un enfoque puramente reactivo de la seguridad, XDR permite a una organización protegerse proactivamente de las amenazas cibernéticas al proporcionar visibilidad unificada a través de múltiples vectores de ataque.

Visibilidad de datos unificada e integrada

La mayoría de las organizaciones se enfrentan a una avalancha de datos de seguridad. Si bien es cierto que no puede proteger lo que no ve, sentirse abrumado por demasiadas alertas de seguridad inutilizables tiene el mismo resultado final. Los equipos de seguridad a menudo pasan por alto los ataques en curso porque la información que necesitan se ahoga en una avalancha masiva de falsas alarmas positivas.

La tecnología de detección y respuesta extendida (XDR) resuelve este problema al proporcionar análisis de datos unificados e integrados y visibilidad en todos los recursos de una organización.

Al centrar la seguridad en una sola plataforma y panel de control, XDR permite a un equipo de seguridad proteger eficazmente a una organización de los ataques cibernéticos. Además, XDR aprovecha la automatización para simplificar los flujos de trabajo de los analistas, acelerar la respuesta a incidentes y reducir la carga de trabajo de los analistas al eliminar tareas simples o repetitivas.

En NOVA promovemos la herramienta de Palo Alto Networks llamada Cortex XDR, en resumen, es una herramienta SaaS de detección de amenazas de seguridad y respuesta a incidentes específica del proveedor que integra de forma nativa múltiples productos de seguridad de TI

XDR consta de tres pasos:

Paso 1: Telemetría y análisis de datos

XDR recopila y supervisa datos de múltiples capas, incluidos puntos finales, redes, servidores y la nube. Después de agregar los datos, realiza análisis de datos para correlacionar el contexto de miles de alertas de estas capas. A continuación, muestra un número manejable de alertas de alta prioridad, evitando sobrecargar a los equipos de seguridad.

Paso 2: Detectar amenazas

Obtenga la ventaja sobre los atacantes con el análisis de comportamiento patentado. Mediante el aprendizaje automático, Cortex XDR perfila continuamente los puntos finales, la red y el comportamiento del usuario para descubrir los ataques más sigilosos. Detecte las amenazas y elimine los puntos ciegos integrando datos de todo su entorno. Investigue a gran velocidad agrupando inteligentemente las alertas relacionadas en incidentes para obtener una imagen completa de cada ataque.

Paso 3: Respuesta

Detenga los exploits que conducen a la infección de ransomware, bloquee archivos maliciosos e identifique el comportamiento malicioso para detener los ataques.

Bloquee rápidamente el malware, aísle los puntos finales, ejecute scripts o analice todo su entorno para contener amenazas. Cortex XDR ofrece opciones de respuesta flexibles que abarcan toda su infraestructura.

Cortex XDR ha logrado los puntajes de rendimiento más altos en los últimos tres años en la evaluación MITRE ATT&CK, así como la tasa general más alta de detección y protección combinadas. A medida que los ciberdelincuentes desarrollan tácticas, técnicas y procedimientos más rápidos, organizados y sofisticados, las nuevas características de Cortex XDR están ayudando a los equipos de SOC a reconocer y detener los siguientes ataques:

Cortex XDR para la nube permite a los equipos SOC extender la detección, el monitoreo y la investigación a los entornos de nube. XDR agrega e integra datos de host en la nube, registros de tráfico, registros de auditoría, datos de Prisma Cloud de Palo Alto Networks y datos de seguridad en la nube de terceros con fuentes de datos de puntos finales y redes que no son en la nube. Los equipos de nube se benefician de una cobertura óptima que abarca tanto entornos locales como multinube.
Cortex XDR Identity Analytics mejora las capacidades de análisis del comportamiento del usuario mediante la detección de actividades maliciosas y amenazas internas. Lo hace mediante la recopilación y el análisis de un amplio conjunto de datos de identidad.
El módulo Cortex XDR Forensics proporciona a los clientes de Cortex XDR directamente la herramienta de investigación avanzada que utiliza el equipo de consultoría de seguridad de la Unidad 42 de Palo Alto Networks. El módulo XDR Forensics le permite recopilar evidencia del historial de eventos, como usuario, archivo, aplicación, navegador y otras actividades de sistemas comprometidos. Por lo tanto, proporciona toda la potencia analítica de XDR durante la respuesta a incidentes.
La interfaz de gestión de incidentes Cortex XDR proporciona a los analistas de seguridad el escenario completo de un incidente en un solo lugar, incluidos los artefactos maliciosos relacionados, los hosts, los usuarios y las alertas correlacionadas alineadas con el repositorio MITRE ATT&CK. Esto permite a los analistas lidiar con incidentes de manera más rápida y completa.
Cortex XDR Third-Party Data Engine permite a los clientes ingerir, normalizar, correlacionar, consultar y analizar datos de prácticamente cualquier fuente. Estos datos de terceros pueden correlacionarse con la actividad de amenazas y etiquetarse utilizando tácticas, técnicas y procedimientos de MITRE ATT&CK para proporcionar una imagen más detallada de los movimientos del oponente. Estas características también permiten a los equipos de SOC comprender el alcance completo de un incidente y responder de manera más integral.

La tercera generación de Cortex XDR, que ya logra los resultados más altos en la evaluación MITRE ATT&CK®, ahora ofrece a los equipos del Centro de Operaciones de Seguridad (SOC) una mayor protección de su superficie de ataque. La nueva solución extiende la detección, el monitoreo y el análisis a los entornos de nube. Además, detecta la actividad maliciosa de los usuarios y las amenazas internas a través del análisis de datos de identidad. Esto proporciona a los equipos de SOC un análisis de seguridad que abarca puntos finales, redes, nube e identidades, lo que permite la detección y respuesta en toda la empresa, algo crítico a medida que los ataques interdependientes se vuelven más frecuentes.

15 febrero, 202320 febrero, 2023

Posibles fallas críticas en servidores Citrix vulnerables, sin parches actualizados

Se han identificado dos vulnerabilidades de seguridad de importancia crítica en plataformas Citrix, se liberaron las actualizaciones para solucionar este hueco de seguridad, pero en los últimos meses siguen siendo vulnerables en miles de puertas de enlace Citrix y ADC (Citrix Application Delivery Controller) que se utilizan en toda la empresa. Estas fallas críticas en servidores Citrix se han identificado ya con los siguientes CVE´s:

CVE-2022-27510: Se identifica como una falla de acceso no autorizado a las capacidades del usuario de Gateway y afecta a productos Citrix. Por lo que un usuario malintencionado puede explotar esta vulnerabilidad para obtener acceso no autorizado al dispositivo, ejecutar una adquisición de escritorio remoto e intentar eludir las medidas de seguridad de inicio de sesión.
CVE-2022-27518: Se identifica como una falla de ejecución remota de código arbitrario no autenticado. Por lo que los atacantes pueden ejecutar comandos remotos en dispositivos vulnerables para controlarlos sin necesidad de autenticarse.

En un escaneo realizado por analistas de TI, se encontraron más de 28 000 servidores Citrix activos en Internet.

Los investigadores tuvieron que aprender el número de versión de cada uno de los expuestos que no se proporcionó en la respuesta HTTP de los servidores, para determinar cuántos eran vulnerables a estas dos fallas.

Tan pronto como Citrix publicó una actualización de seguridad para corregir CVE2022-27518, se descubrió que los actores de amenazas estaban explotando activamente esta vulnerabilidad, por lo cual se recomendó instalar las actualizaciones de seguridad proporcionadas por Citrix.

Recomendación

La solución Tanium que está disponible en el portafolio de Nova es una de las soluciones que ofrece en su módulo Patch la posibilidad de simplificar y acelerar la gestión y el cumplimiento de parches.

Con Tanium Patch, los equipos de operaciones de TI pueden mantener los sistemas actualizados con parches automatizados en toda la empresa, a gran velocidad y escala. Esto ayuda a las organizaciones a reducir la complejidad y aumentar la resiliencia empresarial.

Tanium Patch nos ofrece opciones para accionar con las fallas críticas en servidores Citrix:

Mitigar el riesgo, mantener el cumplimiento y reducir las interrupciones.
Para evitar brechas de seguridad, mantenga los endpoints actualizados con los parches más recientes.
Reducir los gastos generales y la complejidad
Parche a escala con poca o ninguna infraestructura y un tiempo de inactividad mínimo.
Parche con confianza
Mida la higiene cibernética con tasas de éxito de parches en tiempo real en toda la organización.
Te invitamos a seguir las redes sociales de Nova Instagram, Facebook y LinkedIn para que estes enterado de ésta y más noticias y poder ayudarte a estar protegido a través del amplio portafolio de soluciones en Ciberseguridad con el que contamos.

20 enero, 202320 enero, 2023

Brute ratel C4 el próximo (o ya lo es) gran dolor de cabeza para los CISOs

En mayo del año pasado analistas de ciberseguridad detectaron una carga maliciosa que no fue detectada por 56 antivirus que la habían evaluado previamente, esta fue la primera aparición oficial de BRc4 (Brute Ratel C4)

Tras una investigación, especialistas detectaron esta nueva amenaza en importantes organizaciones de distintos países. Además, lograron asociar la amenaza con el grupo “Cozy Bear”, también conocidos como APT-29 un peligroso grupo de piratas expertos en informática.

¿Pero qué es Brute ratel C4 exactamente?

“BRc4” en realidad es una herramienta legítima desarrollada por Chetan Nayak, un ex ingeniero especializado en detección de amenazas de ciberseguridad y red teamer, pensada para ser utilizada en pruebas de penetración. Está diseñada para evadir las herramientas de detección y respuesta (EDR) y antivirus (AV) a propósito y el lanzamiento oficial de la versión 1.0 fue en mayo, pero resultó ser una peligrosa arma en manos de los delincuentes.

El problema es que una versión fue filtrada junto a un kit de herramientas de post-exploración de BRc4 y fue hackeado presuntamente por el grupo “Molecules”. Esta versión se está compartiendo entre las comunidades de hackers de Rusia y Reino Unido, al haberse removido la verificación de licencia Chetan Nayak, perdió la visibilidad y control de quien o para qué se usa la herramienta.

En malas manos, esta herramienta podría ser muy potente, ya se están compartiendo capturas de pantallas en foros de hackers probando el kit.

Brute Ratel tiene la capacidad de genera código Shell que no es fácil de detectar por software de seguridad, lo que está siendo aprovechado por los ciberdelincuentes, esta herramienta con evasión de detección puede establecer acceso a la información de compañías con suficiente tiempo para hacer movimiento lateral sin ser detectada así tener presencia en varios puntos de la red.

Unit 42 de Palo Alto Networks ya ha proporcionado un análisis técnico de BRc4 que puedes consultar aquí.

Es importante que las empresas y organizaciones reconozcan la amenaza inminente que representa esta herramienta ya que sus capacidades seguramente van a ser explotadas.

Recomendación.

Actualmente para defenderte de BRc4 se recomienda utilizar oportunidades de detección basadas en comportamiento tales como Threat Prevention, Cortex XDR y WildFire de Palo Alto Networks.

Threat Prevention brinda protección contra Brute Ratel C4. La firma “Detecciones de tráfico de comando y control de la herramienta Brute Ratel C4” es el ID de amenaza 86647.

Cortex XDR detecta y protege endpoints desde la herramienta Brute Ratel C4.

El servicio de análisis de amenazas basado en la nube de WildFire identifica con precisión las muestras de Brute Ratel C4 como malware.

9 enero, 202311 enero, 2023

Un ataque de ransomware cierra plantas mineras

La Corporación Minera Copper Mountain (CMMC) de Canadá fue atacada por un ransomware el 27 de diciembre de 2022.

En respuesta a este incidente, la empresa implementó rápidamente sistemas y protocolos de gestión de riesgos. Además, la empresa está cerrando plantas de forma activa para evaluar el impacto en sus sistemas de control, aislando operaciones y pasando a procedimientos manuales cuando sea posible.

La CMMC de 18,000 acres, que es propiedad parcial de Mitsubishi Materials, produce un promedio de 100 millones de libras de cobre por año y se estima que tiene más de 32 años de reservas minerales. “Los equipos de TI internos y externos de la empresa continúan evaluando los riesgos e implementando medidas de seguridad adicionales para mitigar cualquier riesgo adicional para la empresa”, dijo Copper Mountain Mining Corp en un nuevo comunicado.

Alcance del ataque

Según el consejo de CMMC, la brecha de seguridad cibernética no comprometió las medidas de seguridad de ninguna manera y no puso en peligro el medio ambiente. “No hubo incidentes de seguridad o ambientales como resultado del ataque. La principal prioridad de la compañía sigue siendo garantizar operaciones seguras y limitar el impacto operativo y financiero”, dijo la compañía.

Reanudar el negocio lo antes posible puede ayudar a las organizaciones a minimizar el impacto financiero de un incidente. “Copper Mountain está investigando el origen del ataque y se está comunicando con las autoridades correspondientes para ayudar a la empresa” – Copper Mountain Mining Corporation of Canada

El 13 de diciembre de 2022, un ciberdelincuente publicó la información de la cuenta de un empleado de CMMC en el mercado de piratas informáticos. Dada la fecha reciente entre la oferta de venta de las credenciales y el informe del ataque de ransomware, es probable que los piratas informáticos hayan utilizado las cuentas comprometidas para obtener acceso a la red de la empresa.

Los hallazgos de la empresa de seguridad Dragos revelaron que 86 ataques se dirigieron específicamente a los sistemas de las organizaciones de fabricación, en particular las relacionadas con los productos metálicos y la industria automotriz. Dragos señaló que solo la pandilla de ransomware LockBit apuntó a las industrias de tratamiento de agua y minería. Según la empresa alemana Aurubis, “esto es claramente parte de un ataque mayor a la industria de los metales y la minería”.

Recomendación: soluciones para evitar ransomware

Las siguientes soluciones están disponibles en el portafolio de Nova:

Apex One

Una solución de seguridad de Trend Micro. Es una solución que ofrece una amplia gama de funcionalidades de seguridad, como protección de amenazas en tiempo real, prevención de intrusiones, parcheo virtual, detección de comportamientos sospechosos y protección contra ransomware. Apex One se puede utilizar tanto en endpoints como en servidores y se puede integrar con otras soluciones de seguridad de Trend Micro y con sistemas de gestión de seguridad de terceros.

Una característica destacable es su adaptabilidad constante, aprendiendo y compartiendo de forma automática información sobre amenazas en su entorno.

Email Security

Solución de Trend Micro diseñada para proteger tu organización de amenazas a través de correo electrónico, ayuda a evitar spam, phishing, correos sospechosos, virus y otros tipos de malware que se distribuyen a través de correo electrónico, además nos ayuda a proteger la información confidencial de nuestra organización.

El tamaño importa: ¿Existen las sociedades de ciberdelincuencia? ¿Por qué es importante?

Ejemplos

Tambien

Recomendación

Dentro de las características principales que nos puede ofrecer se encuentran las siguientes:

¿Qué significa la finalización del soporte técnico para Office 2013 después del 11 de abril de 2023?

¿Cuáles son mis opciones?

Office 2013 en casa

¿Cómo podemos ayudarte?

Discovery & Gestión de Activos y Proveedores

¿Qué es?

Beneficios

UBER

SEDENA

OPTUS

Recomendación ante ciberataques.

Stuxnet:

WannaCry:

Equifax:

Recomendación para evitar ser víctima de ciberataques como estos:

Estas son algunas características que ofrece Palo Alto Nova.

Visibilidad de datos unificada e integrada

Paso 1: Telemetría y análisis de datos

Paso 2: Detectar amenazas

Paso 3: Respuesta

Recomendación

Tanium Patch nos ofrece opciones para accionar con las fallas críticas en servidores Citrix:

¿Pero qué es Brute ratel C4 exactamente?

Recomendación.

Alcance del ataque

Recomendación: soluciones para evitar ransomware

Apex One

Email Security

Regístrate para recibir nuestro newsletter