logo nova
Search
logo nova

Etiqueta: palo alto networks

Publicado en

Beneficios de una solución de detección y respuesta (XDR)

solución de detección y respuesta XDR

¿Qué es la detección y respuesta extendidas (XDR)?

A medida que la infraestructura en la nube y el trabajo remoto se vuelven más frecuentes, solo una plataforma integrada como Extended Detection and Response (XDR) puede proporcionar la visibilidad y la mitigación automatizada necesarias para todos los activos.

El panorama de las amenazas cibernéticas está evolucionando y expandiéndose rápidamente. En respuesta, muchas organizaciones están trabajando para fortalecer sus capacidades de seguridad para que puedan detectar y responder de manera efectiva y eficiente a ataques únicos, sofisticados y rápidos.

El enfoque más común para una plataforma de seguridad es un enfoque “en capas”, en el que una organización implementa múltiples soluciones, incluido el descubrimiento y respuesta de puntos finales (EDR), el análisis de tráfico de red (NTA) y la administración de eventos e información de seguridad (SIEM), para implementar la defensa en profundidad en una variedad de plataformas diferentes (escritorios, nube, IoT, móvil, etc.). Si bien este enfoque puede ser efectivo para detectar y responder a las amenazas cibernéticas, también tiene sus limitaciones.

XDR (Extended Detection and Response) sigue un enfoque diferente. En lugar de un enfoque puramente reactivo de la seguridad, XDR permite a una organización protegerse proactivamente de las amenazas cibernéticas al proporcionar visibilidad unificada a través de múltiples vectores de ataque.

Visibilidad de datos unificada e integrada

La mayoría de las organizaciones se enfrentan a una avalancha de datos de seguridad. Si bien es cierto que no puede proteger lo que no ve, sentirse abrumado por demasiadas alertas de seguridad inutilizables tiene el mismo resultado final. Los equipos de seguridad a menudo pasan por alto los ataques en curso porque la información que necesitan se ahoga en una avalancha masiva de falsas alarmas positivas.

La tecnología de detección y respuesta extendida (XDR) resuelve este problema al proporcionar análisis de datos unificados e integrados y visibilidad en todos los recursos de una organización.

Al centrar la seguridad en una sola plataforma y panel de control, XDR permite a un equipo de seguridad proteger eficazmente a una organización de los ataques cibernéticos. Además, XDR aprovecha la automatización para simplificar los flujos de trabajo de los analistas, acelerar la respuesta a incidentes y reducir la carga de trabajo de los analistas al eliminar tareas simples o repetitivas.

En NOVA promovemos la herramienta de Palo Alto Networks llamada Cortex XDR, en resumen, es una herramienta SaaS de detección de amenazas de seguridad y respuesta a incidentes específica del proveedor que integra de forma nativa múltiples productos de seguridad de TI

 XDR consta de tres pasos:

Paso 1: Telemetría y análisis de datos

XDR recopila y supervisa datos de múltiples capas, incluidos puntos finales, redes, servidores y la nube. Después de agregar los datos, realiza análisis de datos para correlacionar el contexto de miles de alertas de estas capas. A continuación, muestra un número manejable de alertas de alta prioridad, evitando sobrecargar a los equipos de seguridad.

Paso 2: Detectar amenazas

Obtenga la ventaja sobre los atacantes con el análisis de comportamiento patentado. Mediante el aprendizaje automático, Cortex XDR perfila continuamente los puntos finales, la red y el comportamiento del usuario para descubrir los ataques más sigilosos. Detecte las amenazas y elimine los puntos ciegos integrando datos de todo su entorno. Investigue a gran velocidad agrupando inteligentemente las alertas relacionadas en incidentes para obtener una imagen completa de cada ataque.

Paso 3: Respuesta

Detenga los exploits que conducen a la infección de ransomware, bloquee archivos maliciosos e identifique el comportamiento malicioso para detener los ataques.

Bloquee rápidamente el malware, aísle los puntos finales, ejecute scripts o analice todo su entorno para contener amenazas. Cortex XDR ofrece opciones de respuesta flexibles que abarcan toda su infraestructura.

Cortex XDR ha logrado los puntajes de rendimiento más altos en los últimos tres años en la evaluación MITRE ATT&CK, así como la tasa general más alta de detección y protección combinadas. A medida que los ciberdelincuentes desarrollan tácticas, técnicas y procedimientos más rápidos, organizados y sofisticados, las nuevas características de Cortex XDR están ayudando a los equipos de SOC a reconocer y detener los siguientes ataques:

  • Cortex XDR para la nube permite a los equipos SOC extender la detección, el monitoreo y la investigación a los entornos de nube. XDR agrega e integra datos de host en la nube, registros de tráfico, registros de auditoría, datos de Prisma Cloud de Palo Alto Networks y datos de seguridad en la nube de terceros con fuentes de datos de puntos finales y redes que no son en la nube. Los equipos de nube se benefician de una cobertura óptima que abarca tanto entornos locales como multinube.
  • Cortex XDR Identity Analytics mejora las capacidades de análisis del comportamiento del usuario mediante la detección de actividades maliciosas y amenazas internas. Lo hace mediante la recopilación y el análisis de un amplio conjunto de datos de identidad.
  • El módulo Cortex XDR Forensics proporciona a los clientes de Cortex XDR directamente la herramienta de investigación avanzada que utiliza el equipo de consultoría de seguridad de la Unidad 42 de Palo Alto Networks. El módulo XDR Forensics le permite recopilar evidencia del historial de eventos, como usuario, archivo, aplicación, navegador y otras actividades de sistemas comprometidos. Por lo tanto, proporciona toda la potencia analítica de XDR durante la respuesta a incidentes.
  • La interfaz de gestión de incidentes Cortex XDR proporciona a los analistas de seguridad el escenario completo de un incidente en un solo lugar, incluidos los artefactos maliciosos relacionados, los hosts, los usuarios y las alertas correlacionadas alineadas con el repositorio MITRE ATT&CK. Esto permite a los analistas lidiar con incidentes de manera más rápida y completa.
  • Cortex XDR Third-Party Data Engine permite a los clientes ingerir, normalizar, correlacionar, consultar y analizar datos de prácticamente cualquier fuente. Estos datos de terceros pueden correlacionarse con la actividad de amenazas y etiquetarse utilizando tácticas, técnicas y procedimientos de MITRE ATT&CK para proporcionar una imagen más detallada de los movimientos del oponente. Estas características también permiten a los equipos de SOC comprender el alcance completo de un incidente y responder de manera más integral.

La tercera generación de Cortex XDR, que ya logra los resultados más altos en la evaluación MITRE ATT&CK®, ahora ofrece a los equipos del Centro de Operaciones de Seguridad (SOC) una mayor protección de su superficie de ataque. La nueva solución extiende la detección, el monitoreo y el análisis a los entornos de nube. Además, detecta la actividad maliciosa de los usuarios y las amenazas internas a través del análisis de datos de identidad. Esto proporciona a los equipos de SOC un análisis de seguridad que abarca puntos finales, redes, nube e identidades, lo que permite la detección y respuesta en toda la empresa, algo crítico a medida que los ataques interdependientes se vuelven más frecuentes.

Te invitamos a seguir las redes sociales de Nova InstagramFacebook y LinkedIn para que estes enterado de ésta y más noticias y poder ayudarte a estar protegido a través del amplio portafolio de soluciones en Ciberseguridad con el que contamos.

Publicado en

Incrementos de ataques informáticos en escuelas de EUA

Ataques informáticos en escuelas

Durante el último año se han detectado ataques informáticos en diferentes institutos educativos de Estados Unidos, tal como el ataque que sufrió la Universidad Xavier ubicada en Cincinnati, Ohio.

El presidente de la universidad, Reynold Verret, dio a conocer el ataque mediante un correo a los empleados y estudiantes del instituto, así mismo a través de éste, comentó de una interrupción en la red el 22 de noviembre que se dio para que expertos en seguridad pudieran realizar la investigación correspondiente. Se determinó que fue un “evento de cifrado” que de acuerdo con sus características fue un ransomware, y a través de la investigación se enteraron de que los actores malintencionados afirmaban haber robado información personal de estudiantes.

Así mismo, hace unos meses se dio a conocer el ataque de un ransomware en Los Angeles Unified School District, dicho ataque llevó a la ruptura a el segundo sistema escolar más grande de Estados Unidos, con más de 650.000 estudiantes y 75.000 empleados, lo cual obligó al cierre de algunos de los sistemas informáticos del distrito. 

El FBI emitió una alerta el año pasado mencionando que los ataques informáticos y el ransomware se dirige cada vez más a las instituciones educativas. Este año ataques como los ya mencionados y como los ataques a Knox College en Galesburg, Illinois permitieron observar que la información había sido comprometida.

Descubrieron que los ataques informáticos están utilizando varias técnicas, entre ellas:

  • Phishing, suplantación de correo electrónico o de un sitio web, con la finalidad de obtener información sensible o datos confidenciales.
  • Ransomware, software malicioso que bloquea el acceso a los archivos de una computadora, comúnmente cifrando la información y solicitando una cantidad monetaria para el rescate de ésta.
  • Distributed Denial of Service (DDoS), que impiden o perjudican el uso autorizado de redes, sistemas o aplicaciones por parte de múltiples máquinas que operan juntas para abrumar a un objetivo.
  • Interrupciones de videoconferencias, ataques que interrumpieron teleconferencias y aulas en línea, a menudo con imágenes pornográficas o de odio y lenguaje amenazante.

El incremento de ataques en escuelas, hospitales y municipios preocupa a los gobiernos y/o directivos de estas instituciones, motivándolos a implementar soluciones de ciberseguridad, ya que los ataques a éstas, no sólo pone en riesgo la información del personal, sino también la de la población que interactúa con ellas.

Muchas empresas o instituciones a pesar de contar con herramientas de ciberseguridad tienen problemas con las actualizaciones de seguridad (firmas, patrones, reglas de detección, etc.), así como en actualizaciones de software (motores de detección, optimización, etc.) lo cual dificulta la detección de amenazas. No siempre tienen desplegadas estas herramientas en todos los equipos que conforman su infraestructura, por desconocimiento de todos los activos, o porque los usuarios ingresan dispositivos externos a la empresa, etc.

Una de las partes fundamentales para la integración de herramientas de ciberseguridad, es conocer todos los activos dentro de su infraestructura, para que de esta forma conozcan que equipos cuentan con la protección correspondiente y así mismo tener la visibilidad del estatus de ésta. A lo largo de nuestra trayectoria hemos observado que hay empresas que tienen inventarios incompletos, en archivos de texto plano, como archivos Excel, e incluso hay empresas que no llevan algún inventario de éstos.

Recomendación

Herramientas como Proactivanet, presente en la cartera de soluciones de Nova, nos ayuda a optimizar que todo esté inventariado, dando visibilidad y control de los activos que se conecten a la infraestructura, el inventario de software instalado en los equipos, detección de software nuevo y/o no autorizado, detección de vulnerabilidades potenciales, y también permite el despliegue de parches, nuevas aplicaciones, archivos batch, además de proveernos una configuración centralizada.

Otro punto importante es considerar herramientas de detección avanzada, un antimalware convencional ya no es suficiente para proteger nuestra infraestructura, realizar detecciones mediante machine learning (ML) es lo óptimo, herramientas como Cortex XDR, que cuenta con características de detección avanzada como Behavioral Threat, Anti-Ransomware, Child Process Protection, que aprovechan tecnologías para detectar ransomware, tanto conocidos como de día cero (0-day). 

Te invitamos a seguir las redes sociales de Nova InstagramFacebook y LinkedIn para que estes enterado de ésta y más noticias y poder ayudarte a estar protegido a través del amplio portafolio de soluciones en Ciberseguridad con el que contamos.

Publicado en

Campaña masiva de “Black Hat SEO” que compromete a casi 15, 000 sitios webs.

campaña black hat seo

Informe realizado por investigadores de seguridad cibernética afirma que ciberdelincuentes están llevando a cabo una campaña masiva de Black Hat SEO que compromete a casi 15, 000 sitios webs.

Según los especialistas, la campaña se observó por primera vez en septiembre de 2022, cuando el equipo detectó un aumento de software malicioso en varios sitios que funcionan con el gestor de contenido WordPress. Sitios que se vieron comprometidos contienen casi 20,000 archivos.  Estos, se estaban utilizando como parte de la campaña maliciosa, que estaban llevando a cabo los actores de amenazas, y la mayoría de los sitios eran WordPress.

Este ataque funciona cuando los ciberdelincuentes modifican los archivos de WordPress, para inyectar redireccionamientos a foros de discusión de preguntas y respuestas apócrifos.

Los archivos infectados o modificados contienen un código malicioso que verifica si los visitantes del sitio web están conectados a WordPress y, si no lo están, los redirige a la URL https://ois.is/images/logo-6.png , El usuario no verá una imagen, sino que al hacer clic se activa un código informático que lo redirige a un sitio promocionado.

Recomendación contra el Black Hat SEO

La solución Palo Alto Networks que está disponible en el portafolio de Nova, Con Advance URL Filtering de Palo Alto Networks proporciona análisis de URL en tiempo real y prevención de malware para generar un análisis de URL más preciso que el que es posible con las técnicas tradicionales de filtrado de bases de datos web por sí solas. 

Con Advance URL filtering obtenemos:

  • Protección en tiempo real
  • Prevención de phishing
  • Control total de tu tráfico web
  • Optimice la postura de seguridad

Consulta la fuente de este artículo aquí:

Te invitamos a seguir las redes sociales de Nova InstagramFacebook y LinkedIn para que estes enterado de ésta y más noticias y poder ayudarte a estar protegido a través del amplio portafolio de soluciones en Ciberseguridad con el que contamos.

Publicado en

¿Estás buscando ideas para mejorar tu estrategia de seguridad de nube? Prueba  “The 5 Big Cloud”

Se trata de una estrategia de seguridad desarrollada por Palo Alto Networks que en 5 puntos abarca los principales retos a los que las organizaciones se enfrentan.

Estrategia de seguridad
Estrategia de seguridad The 5 Big Cloud

1.- Visibilidad profunda de la nube.

Los equipos de seguridad no solo deben entender qué plataformas de nube se están usando, sino también qué es lo que se ejecuta dentro de ellas. La tarea es identificar los usos de la nube que el equipo de TI no tenga conocimiento, la diferencia con un entorno local, es que aquí entran en juego las API del proveedor de nube, las cuales debemos tener en cuenta en el descubrimiento, pues existen además de las aplicaciones que se usan en la organización.

2.-Evita fallos de configuración.

¿Qué configuraciones no deberían estar presentes en el entorno? Es común que las organizaciones estén haciendo malas prácticas de seguridad sin darse cuenta. Revisar que está mal permitirá madurar su estrategia de nube, por ejemplo, una base de datos que reciba tráfico directo de internet. Recomendamos escribir una lista inicial e ir completándola conforme vaya madurando el programa de seguridad.

Recuerda siempre que uses alguna automatización, experimenta un poco en escalas pequeñas para evitar algún error humano o problema en producción.

3.- Trabaja en tus estándares.

No se puede automatizar sin estándares de seguridad en vigor. La automatización es únicamente la ejecución de estándares previamente estipulados.

4.- Capacitación.

Brinda formación al personal y contrata ingenieros de seguridad que sepan programar, cuando hablamos de entornos de nube pública la base es API, una correcta gestión de riesgo requiere que los equipos de seguridad sepan utilizar las API, si la programación no es un punto fuerte de la organización quizá es mejor asignarlo a un consultor externo.

5.- Desarrolla de forma segura.

Este punto trata de responder al quién, qué, cuándo y dónde de cómo envía el código a la nube su organización. Hecho esto, el objetivo debería ser localizar los puntos de inserción menos disruptivos para los procesos y las herramientas de seguridad. Cuanto antes consigas el apoyo y el compromiso de tus equipos de desarrollo, mejor.

Conclusión: Diseñar una estrategia de seguridad en la nube que gire en torno a “The 5 big cloud” permite a las organizaciones de seguridad de cualquier tamaño cosechar los frutos de la nube pública.

Si necesitas apoyo para implementar esta o una estrategia de seguridad más a tu medida, puedes ponerte en contacto con nosotros.

Esta estrategia diseñada por Palo Alto Networks busca que tus equipos puedan formular su propia estrategia de seguridad en la nube integral.

Síguenos en InstagramFacebook y LinkedIn para más contenido de ciberseguridad.

consulta la fuente de este artículo en el blog de Palo Alto Networks.

Publicado en

El mercado global de la Darknet “Hydra Market” ha sido cerrado.

El mercado ilegal más grande de la Darknet según estimaciones fue cerrado en Alemania hace unos días. Se reporta el incauto de 25 millones de dólares en Bitcoin.

Hydra Market.

Hydra Market era un mercado virtual en donde se llevaban a cabo todo tipo de actividades ilegales, entre ellas la compra de drogas, documentación falsa, servicios digitales (incluidos ciberataques), suplantación de identidad, distribución de software malicioso, e incluso el lavado de criptomonedas robadas entre muchas más actividades ilícitas, las estimaciones dicen que los usuarios de este mercado ascendían a 17 millones de personas.

¿Cómo sucedió?

Tras intensas investigaciones por parte del FBI, la DEA, la oficina de investigaciones de seguridad nacional de EUA y la división de investigación criminal de IRS comandados por la oficina central para combatir el cibercrimen de la fiscalía general de Francfort se emitió un comunicado el cual decía que el control de los servidores de Hydra había sido tomado en Alemania.

Sabemos que la plataforma funcionaba desde 2015 y representaba el 75% de las transacciones ilegales realizadas en línea.

Grupos de cibercriminales como Darkside frecuentaban esta plataforma. El modo de operar era muy sencillo, Hydra funcionaba como intermediario entre vendedores y compradores utilizando ubicaciones secretas de información, así los involucrados no tenían que encontrarse en persona.

También sabemos que Hydra tuvo su origen en Rusia y este caso se suma a otros cuantos como el derribo de Silk Road, Wall Street Market y AlphaBay todos estos mercados ilegales pero, sin duda, este es el caso más grande en mucho tiempo.

Sin embargo aún hay muchos mercados como este operando, por ello es muy importante estar protegido contra las actividades que podrían afectar los datos de nuestra organización.

Protege tu negocio con la garantía de Palo Alto Networks

Desde que Palo Alto Networks fue fundada, se ha dedicado no solo a crear productos y soluciones de seguridad, sino también a crear una plataforma operativa de seguridad que resuelva los innumerables retos a nivel de ciberseguridad que te permite automatizar con confianza la identificación, protección, detección y respuesta de amenazas a lo largo de todos tus ambientes: red, nube y endpoints.

La plataforma integrada de Palo Alto Networks te permite además adoptar fácilmente las mejores prácticas y utiliza un enfoque de cero confianza (Zero Trust) para reducir al máximo la superficie de ataque.

Palo Alto protege también todos los dispositivos IoT en el entorno y cuenta con la capacidad de reaccionar ante malware desconocido.

La tecnología de Palo Alto garantiza la única prevención de suplantación de identidad y software malicioso en línea de la industria y detiene amenazas desconocidas a medida que llegan a tu red. Palo Alto está presente en el portafolio de soluciones de Nova.Si te interesa la solución o requieres más información. contáctanos.

Síguenos en Instagram, Facebook y LinkedIn para más contenido de ciberseguridad y tecnologías de la información.

Consulta la Fuente de esta noticia aquí:

#NovaRecomienda

Publicado en

Ataques DDoS, Defacement y HermeticWiper derivado del conflicto Rusia-Ucrania

La creciente tensión entre Rusia y Ucrania ha provocado que no sólo los ataques se realicen por aire y tierra, sino que ahora, con la importancia del ramo tecnológico para cualquier tipo de actividad, los ciber ataques juegan un papel relevante en este tipo de conflictos bélicos.

Desde el pasado mes de febrero, la policía cibernética de Ucrania detectó que los ciudadanos de dicho país estaban recibiendo SMS diciendo que los cajeros ATM estaban presentado fallas. El objetivo de esos mensajes era causar alarma entre la población. Posterior a ello, se presentaron ataques de DDoS dirigidos al Ministerio de Defensa de Relaciones Exteriores, las fuerzas armadas de Ucrania, y algunas instituciones bancarias, esto a través de las botnets conocidas como Mirai y Meri. Se especula que muy probablemente los ataques provenían de Rusia, sin embargo, todo indica que también otras organizaciones maliciosas han aprovechado la situación para lanzar más ataques de DDoS.

El pasado 23 de febrero, el archivo llamado conhosts._exe fue subido a un repositorio de malware público, el cual tenía una firma válida por parte de la organización Hermetica Digital Ltd. Dicho archivo trae embebido un malware de la familia Wiper que fue nombrado HermeticWiper, éste una vez que se ejecuta, borra todos los archivos del sistema donde fue ejecutado.

A la par de lo anterior, también hubo ataques Defacement a websites ucranianos. En esencia, este ataque usaba la misma plantilla de la vulnerabilidad OctoberCMS descubierta a inicio de este año. Los sitios afectados redirigen a una entidad llamada Free Civilian que ofrece bases de datos que contienen datos personales de ciudadanos ucranianos.

El temor aquí es que estos ataques también se propaguen a organizaciones financieras, gubernamentales, etc. de todo el mundo.

Afortunadamente, el equipo Unit 42 de Palo Alto está en constante análisis de la situación y los ataques que han ido surgiendo. Por ello, diariamente están actualizando los patrones de detección de malware que están bloqueando cientos de dominios, IP’s y URL’s relativas a los nuevos ataques. También han agregado nuevas firmas a los patrones de detección de Wildfire que de igual manera bloquean el malware HermeticWiper.

Te invitamos a seguir las redes sociales de Nova Instagram, Facebook y LinkedIn para que estés enterado de ésta y más noticias, y como podemos ayudarte a estar protegido a través del amplio portafolio de soluciones en ciberseguridad con el que contamos como lo es Palo Alto Networks.

#NovaRecomienda

Publicado en

El malware que está robando contraseñas guardadas en navegadores

password steel

Al descubrirlo y analizarlo los especialistas advierten que el programa malicioso no solo afecta a las contraseñas del navegador que estés usando, sino que también puede apoderarse de la información de las tarjetas de crédito que tengas guardadas y carteras de criptomonedas.

Recientemente se alertó sobre un programa malicioso, RedLine Stealer. Lo más destacable de la amenaza es que roba fácilmente contraseñas guardadas en navegadores basados en Chromium (como Chrome, Opera o Edge) y Gecko (Mozilla Firefox y otros) y que afecta tanto a organizaciones como particulares.

El malware es especialmente peligroso ya que la función de administración de contraseñas se encuentra habilitada predeterminadamente, entonces al instalar el malware este accede a la base de datos donde se guardan los nombres y contraseñas permitiendo a los ciberdelincuentes hacer mal uso de esta información.

Este malware puede comprarse por unos 200 dólares en foros y no requiere mucha experiencia para implementarlo.

De acuerdo a informes RedLine fue detectado por primera vez en una dark web de Rusia en marzo de 2020, un usuario de nombre RedGlade filtró sus características y comenzó a distribuir el malware.

Aunque no hay manera de saber que tanto ha sido explotado este malware desde su origen, se sabe que se utilizaron correos fraudulentos para su distribución, anuncios de Google, archivos de Excel e incluso escondido como un software para edición de fotografía.

Recomendación

Como siempre en Nova creemos que la mejor forma de proteger tu información es estando informado, recomendamos estar alerta  y tener mucho cuidado con la ingeniería social manteniendo a tu equipo capacitado y listo para reaccionar ante cualquier ataque y proteger tus endpoints con soluciones como Cortex Prevent de Palo Alto Networks que protege tu información de amenazas avanzadas conocidas y desconocidas e incluso ataques de día cero sin intervención humana gracias a múltiples métodos de prevención como:

  • Machine Learning
  • Protección del Ransomware basado en comportamiento
  • Protección previa de exploits
  • Prevención de exploits basada en técnicas
  • Prevención de exploits de kernels

Gracias a estos mecanismos, se posiciona como un “Advanced Endpoint Protection” y además, por lo ligero que es el agente instalado en el Endpoint, no genera conflictos en el sistema o un excesivo consumo de recursos de computo.

No olvides seguirnos en Instagram, Facebook y LinkedIn para más contenido de ciberseguridad y tecnologías de la información, estamos seguros de que no querrás perdértelo.

Publicado en

¿Qué es la vulnerabilidad Log4j y cómo puedo protegerme?

vulnerabilidad Log4j

En días recientes, la vulnerabilidad Log4j ha causado revuelo por todo internet, debido a la relativa facilidad para los atacantes de esta vulnerabilidad. Su aprovechamiento puede generar un caos en nuestra infraestructura. Afecta a Apache Log4j, que es una biblioteca de código abierto muy utilizada por diferentes desarrolladores Java, cuyo objetivo es mantener un registro de diferentes actividades en las aplicaciones.

Esta vulnerabilidad permite introducir código activo de manera remota en el proceso de registro, el cual ejecuta un comando para darle el control al atacante. No se han detectado incidentes graves como resultado de esto, sin embargo, se ha detectado un considerable aumento de piratas informáticos que intentan aprovechar este fallo para el espionaje.

Jen Easterly, directora de la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA, por sus siglas en inglés) del Departamento de Seguridad Nacional de Estados Unidos, lo calificó como “uno de los fallos más graves” que ha visto en su carrera. Compañías del calibre de IBM, Apple, Cisco, Google y Amazon ejecutan el software, por lo que todos sus servicios, portales web y dispositivos pueden estar expuestos alrededor del mundo.

Prevención.

Es por esta razón que todos debemos prevenirnos de cualquier posible ataque con medidas de acción, como es factible con las soluciones de Palo Alto Networks, que ofrecen protección contra la explotación de este agujero de seguridad. Los Firewalls Strata de la marca o Prisma Access pueden bloquear automáticamente las sesiones relacionadas con esta vulnerabilidad mediante identificación de amenazas. Además, Log4j requiere acceso al código alojado externamente, por lo que su filtrado avanzado de URL supervisa y bloquea constantemente dominios y sitios web maliciosos nuevos, desconocidos y conocidos para bloquear esas conexiones externas inseguras.

Debido a la naturaleza de lo anteriormente expuesto, queda claro que es importante proteger nuestra infraestructura con soluciones efectivas para evitar pérdida o robo de información, pues la solución y parcheo puede tomar mucho tiempo, según informa Apache. Tomar medidas por nuestra parte es la mejor forma de protegernos.

Te invitamos a seguirnos en nuestras redes sociales Instagram, Facebook y LinkedIn para encontrar éstas y demás soluciones que NOVA ofrece para mantener tu infraestructura de red segura y libre de ciber amenazas.

Consulta las fuentes de este artículo aquí:

#NovaInforma

Publicado en

Hackeo de Olympus en EE. UU. Vinculado a grupo de ransomware ruso

Hackeo

Un ciberataque “en curso” contra el gigante tecnológico japonés Olympus fue causado por un ransomware desarrollado por un grupo criminal ruso.

Una nueva variante de malware conocida como Macaw se utilizó en el ataque que comenzó el 10 de octubre y que cifró los sistemas de Olympus en Estados Unidos, Canadá y América Latina. Macaw es una variante del malware WastedLocker, ambos creados por Evil Corp., un grupo de hackers con sede en Rusia.

Este fue el segundo ataque de ransomware que afecto a esta empresa en lo que va del año, después de que el grupo de ransomware BlackMatter desconectara sus redes en Europa, Oriente Medio y África en septiembre. (No se sabe que BlackMatter y Evil Corp. estén vinculados).

“Olympus fue golpeado por BlackMatter el mes pasado y luego golpeado por Macaw hace aproximadamente una semana”, comento Allan Liska, analista senior de amenazas de la firma de seguridad Recorded Future. 

El martes Olympus dijo en un comunicado que la estaban investigando la “probabilidad de exfiltración de datos”, una técnica común de los grupos de ransomware conocida como “doble extorsión”, en la que los piratas informáticos roban archivos antes de cifrar la red de la víctima y amenazan con publicarlos en línea. si no se paga el rescate para descifrar los archivos.

Bloomberg informó que el malware Macaw también se usó para causar una interrupción generalizada la semana pasada en Sinclair Broadcast Group, que posee y opera 185 estaciones de televisión en más de 80 mercados. 

Si bien es sabido, en el año 2020 con el inicio de la pandemia se observó un incremento de las familias de Ransomware contra las que se hubo en el 2019 y 2018. Cada una de estas familias generan nuevas variantes y/o mutaciones en sus amenazas principales, lo cual hace que la identificación de estos sea más difícil. Este tipo de ataques ya no solo se enfocan en cifrar los archivos y cobrar por la llave de desencriptación de estos, si no que ahora los grupos criminales realizan una copia a sus servidores, para contar con esta y realizar una doble extorsión. Ya que, si no pagas el rescate, la información de las empresas es puesta en venta en la Dark Web o publicada públicamente en internet.

Recomendación

La solución Cortex XDR de Palo Alto Networks que está disponible en el portafolio de Nova es una de las soluciones que nos apoya a prevenir ataques de Ransomware, nos apoya a detectar vulnerabilidades con la pila de prevención más integral para obtener una protección de vanguardia contra exploits, malware, ransomware y ataques sin archivos.

Cortex XDR cuenta con una analítica de comportamiento para descubrir los ataques más sigilosos, lo cual nos apoya a identificar ransomwares de 0-day o las variantes de los que ya existen. Con el aprendizaje automático Cortex XDR perfila continuamente el comportamiento del usuario y del endpoint, y encuentra comportamientos anómalos que indican ataques.

No olvides seguirnos en Facebook y LinkedIn para más contenido de ciberseguridad y tecnologías de la información, estamos seguros de que no querrás perdértelo.

“La desconfianza es madre de la seguridad”

Aristófanes

Consulta las referencias para este artículo aquí.

#NovaInforma

Publicado en

Microsoft corrige zero day y otras 83 vulnerabilidades en actualización de enero.

microsoft logo

El primer paquete de actualizaciones de este 2021 corrige una zero-day en Microsoft Defender que según la compañía ya fue explotada por atacantes previo al lanzamiento del parche.
 
El martes de esta semana Microsoft lanzó el primer paquete de actualizaciones del 2021. En esta edición del popularmente conocido Patch Tuesday, la compañía reparó un total de 83 vulnerabilidades presentes en distintos productos. Del total de vulnerabilidades reparadas, 10 fueron catalogadas como críticas.  Uno de los fallos corregidos es una zero-day que afecta a Microsoft Defender.
 
Recomendación: Para proteger las empresas contra este tipo amenazas se recomienda tener herramientas de siguiente generación que además sean complementarias al AV tradiciones como Cortex XDR de Palo Alto.

Consulta el artículo aquí