Las herramientas más antiguas tienen dificultades con la demanda actual de las organizaciones

Las herramientas de descubrimiento de activos antiguas precedieron a muchas de las cosas con las que los entornos de TI modernos operan a diario.

 Dos ejemplos: contenedores y nubes híbridas. 

Tabla de contenido.

Estas herramientas no pueden manejar la tasa de cambio que vemos ahora. Sin embargo, las organizaciones suelen permanecer apegadas a las herramientas con las que se sienten cómodas, muchas de las cuales no son fáciles de usar. De hecho, pueden enorgullecerse de dominar herramientas difíciles de usar. Tal vez escribieron scripts personalizados para que funcionen de manera más efectiva. No solo eso, todo un ecosistema de ha surgido para ayudar a los departamentos de TI a hacer precisamente eso.

Las consecuencias desafortunadas de esto son políticas y procesos de TI creados, no porque sean la mejor manera de abordar un problema, sino porque se ajustan a las capacidades de las herramientas actuales.

Es la versión informática de “si tienes un martillo, todo debe ser un clavo”. Las herramientas arraigadas se vuelven parte del ecosistema de TI, pero las mejores políticas, deberían ser independientes de las herramientas.

Para que no sea tu caso, acércate a nosotros, podemos ayudarte a escoger las opciones más innovadoras en el mercado para el descubrimiento de activos.

Te invitamos a seguir las redes sociales de Nova Instagram, Facebook y LinkedIn para que estes enterado de éste y más temas donde podemos ayudarte a estar informado y protegido a través del amplio portafolio de soluciones en Ciberseguridad con el que contamos.

Fuente: David Irwin, director de gestión de productos, Tanium

La guerra Rusia-Ucrania explotada como señuelo para la distribución de malware

Los grupos de distribución de malware actualmente están utilizando temas de phishing relacionados con la invasión de Ucrania, teniendo como objetivo infectar con troyanos de acceso remoto (RAT) como Agent Tesla y Remcos a las personas a las que les llegan estos correos.

Comúnmente los distribuidores de malware se aprovechen de las tendencias mundiales para engañar a los destinatarios para que abra los archivos adjuntos entregados por correo electrónico y, actualmente, no hay nada más vigilado que la invasión rusa a Ucrania.

Con este tema, los actores de amenazas envían emails maliciosos que instalan RAT en los sistemas de los destinatarios para obtener acceso remoto, extraer información confidencial, escanear nuestra red, desactivar el software de seguridad y, en general, preparar el terreno para cargas útiles más potentes, como los podría ser el despliegue de Ransomware.

Apuntando a fabricantes

Ucrania es un centro de fabricación de varias piezas, y el conflicto actual ha obligado a las fábricas a cerrar sus operaciones, creando inevitablemente problemas y escasez en la cadena de suministro.

Una de las principales campañas detectadas, es intentar explotar estas preocupaciones, dirigiéndose a los fabricantes con un archivo adjunto ZIP que supuestamente contiene una encuesta que deben completar para ayudar a sus clientes a desarrollar planes de respaldo.

Sin embargo, dicho archivo ZIP contiene un Agente Tesla RAT, que se ha utilizado mucho en  varias campañas de phishing  en el pasado.

La mayoría (83 %) de los correos electrónicos de phishing en esta campaña se originaron en los Países Bajos, mientras que los objetivos se encuentran en la República Checa (14 %), Corea del Sur (23 %), Alemania (10 %), Reino Unido (10 %), y EE. UU. (8 %).

Retenciones de pedidos falsos

La segunda campaña es una suplantación de identidad de una empresa médica de Corea del Sur que fabrica sistemas de diagnóstico in vitro.

El mensaje que le llega a sus objetivos afirma que todos los pedidos han sido suspendidos debido a restricciones de vuelos y envíos desde Ucrania.

El documento de Excel adjuntado en dicho correo supuestamente contiene más información sobre el pedido, pero en realidad, es un archivo con macros que explota la vulnerabilidad del Editor de ecuaciones de Microsoft Office, también conocida como CVE-2017-11882, para entregar el Remcos RAT en el sistema.

El 89% de estos correos electrónicos provienen de direcciones IP alemanas, mientras que los destinatarios se encuentran en Irlanda (32%), India (17%) y EE. UU. (7%).

Una de las soluciones para prevenir la ejecución de software no autorizado, así mismo detectar actividades potenciales de ransomware es Tanium, la cual se encuentra en el portafolio de  Ingeniería Aplicada Nova, dicha herramienta cuenta con una variedad de módulos que nos permiten tener una mejor visibilidad, control e incremento de seguridad en nuestra infraestructura, así mismo nos permite acelerar la respuesta ante incidentes, los principales módulos que nos permiten a detener la ejecución de software no autorizado, así mismo detectar actividades de ransomware son:

  • Tanium Threat Response

Este módulo supervisa la actividad en tiempo real de nuestros EndPoints y genera alertas cuando se detectan comportamientos maliciosos. 

  • Tanium Enforce 

Este módulo nos permite realizar listas blancas utilizando Applocker, para solo permitir la ejecución de software autorizado por la empresa y así evitar que se ejecute software no autorizado en los puntos finales.

Si deseas conocer más sobre esta solución, puedes consultar informaciones en: TANIUM, no olvides seguirnos en nuestras redes sociales FACEBOOK y LINKEDIN para revisar más contenido de ciberseguridad.

Consulta la fuente de este artículo aquí:

#NovaRecomienda.