ransomware Archivos - Página 2 de 4 - Consultora en Ciberseguridad y TI

22 marzo, 202317 marzo, 2023

Los ciberataques más impactantes de 2022

¿Qué medidas debemos tener en cuenta en este 2023 para protegernos de ciberataques?

La semana pasada hablábamos de algunos ciberataques que impactaron gravemente a miles de empresas en el pasado, en esta ocasión analicemos algunos ejemplos más recientes ¿Cuáles fueron los ciberataques más importantes de 2022? Y ¿Qué debemos aprender para mejorar nuestra estrategia de ciberseguridad?

UBER

Uno de los ataques más grandes del año pasado y del cual ya hablamos en este blog es el ataque a Uber a manos del grupo Lapsus$, sin mencionar el hecho de que fue llevado a cabo por un adolescente, este fue uno de los golpes más grandes que ha vivido la empresa.

El atacante obtuvo acceso a la VPN de la compañía a través de un código malicioso ejecutable que comprometió la autenticación multifactorial del sistema. El caso dejó en evidencia la necesidad de implementar principios como “zero trust” con el mínimo de accesos necesarios y de implementar monitoreo automatizado para detección temprana de intrusiones cibernéticas e identificar cualquier comportamiento inusual.

SEDENA

El siguiente ejemplo sucedió aquí en México, se trata del hackeo de la Secretaría de Defensa Nacional de México, en el cuál se filtraron 4 millones de correos electrónicos, lo que originó preocupación en la reunión bilateral sobre temas de seguridad entre México y Estados Unidos. Este ataque dirigido específicamente a la infraestructura militar mexicana dejó en evidencia la necesidad de un centro de coordinación y respuesta a emergencias cibernéticas, ligado a los sistemas de defensa nacional, implementar protocolos de monitoreo e identificación, mejorar las prácticas de resiliencia, proporcionar políticas, recursos, capacidad de respuesta de manera pronta, efectiva y contundente es vital para prevenir y mitigar ciberataques.

OPTUS

Y el último ejemplo del que hablaremos es el hackeo australiano de Optus, quienes tras declarar públicamente que la seguridad cibernética era su prioridad, sufrieron una intrusión a sus sistemas y acceso no autorizado a las bases de datos de hasta 10 millones de personas. El hackeo a través de la interfaz de programación de aplicaciones (API) dejó en evidencia la necesidad de evaluar los riesgos de seguridad en software y hardware para resolverlos lo antes posible.

Queda claro que las empresas e incluso los gobiernos necesitan mejorar su ciberseguridad, esto se puede lograr implementando soluciones tecnológicas a la vanguardia que permitan construir una estrategia con visibilidad completa de sus sistemas, además de que permita identificar rápidamente cualquier vulnerabilidad o amenaza.

Recomendación ante ciberataques.

Tanium es una plataforma de seguridad cibernética que puede ayudar a las organizaciones en lo antes mencionado.

Para tener una estrategia de ciberseguridad sólida con Tanium, se recomienda lo siguiente:

Contar con un inventario completo de activos: Tanium se puede implementar en todos los dispositivos, lo que permite tener una visibilidad completa de la red, y así detectar cualquier actividad maliciosa.

Monitorear constantemente los dispositivos: Tanium permite monitorear constantemente los dispositivos en tiempo real, lo que ayuda a identificar cualquier amenaza o actividad sospechosa.

Automatizar la gestión de parches: Tanium puede ayudar a automatizar la gestión de parches, lo que permite mantener todos los sistemas actualizados y protegidos contra vulnerabilidades conocidas.

Realizar auditorías de seguridad: Tanium puede ayudar a realizar auditorías de seguridad, lo que permite identificar posibles vulnerabilidades y definir políticas de seguridad más efectivas.

Te invitamos a seguir las redes sociales de Nova Instagram, Facebook y LinkedIn para que estes enterado de ésta y más noticias y poder ayudarte a estar protegido a través del amplio portafolio de soluciones en Ciberseguridad con el que contamos.

9 enero, 202311 enero, 2023

Un ataque de ransomware cierra plantas mineras

La Corporación Minera Copper Mountain (CMMC) de Canadá fue atacada por un ransomware el 27 de diciembre de 2022.

En respuesta a este incidente, la empresa implementó rápidamente sistemas y protocolos de gestión de riesgos. Además, la empresa está cerrando plantas de forma activa para evaluar el impacto en sus sistemas de control, aislando operaciones y pasando a procedimientos manuales cuando sea posible.

La CMMC de 18,000 acres, que es propiedad parcial de Mitsubishi Materials, produce un promedio de 100 millones de libras de cobre por año y se estima que tiene más de 32 años de reservas minerales. “Los equipos de TI internos y externos de la empresa continúan evaluando los riesgos e implementando medidas de seguridad adicionales para mitigar cualquier riesgo adicional para la empresa”, dijo Copper Mountain Mining Corp en un nuevo comunicado.

Alcance del ataque

Según el consejo de CMMC, la brecha de seguridad cibernética no comprometió las medidas de seguridad de ninguna manera y no puso en peligro el medio ambiente. “No hubo incidentes de seguridad o ambientales como resultado del ataque. La principal prioridad de la compañía sigue siendo garantizar operaciones seguras y limitar el impacto operativo y financiero”, dijo la compañía.

Reanudar el negocio lo antes posible puede ayudar a las organizaciones a minimizar el impacto financiero de un incidente. “Copper Mountain está investigando el origen del ataque y se está comunicando con las autoridades correspondientes para ayudar a la empresa” – Copper Mountain Mining Corporation of Canada

El 13 de diciembre de 2022, un ciberdelincuente publicó la información de la cuenta de un empleado de CMMC en el mercado de piratas informáticos. Dada la fecha reciente entre la oferta de venta de las credenciales y el informe del ataque de ransomware, es probable que los piratas informáticos hayan utilizado las cuentas comprometidas para obtener acceso a la red de la empresa.

Los hallazgos de la empresa de seguridad Dragos revelaron que 86 ataques se dirigieron específicamente a los sistemas de las organizaciones de fabricación, en particular las relacionadas con los productos metálicos y la industria automotriz. Dragos señaló que solo la pandilla de ransomware LockBit apuntó a las industrias de tratamiento de agua y minería. Según la empresa alemana Aurubis, “esto es claramente parte de un ataque mayor a la industria de los metales y la minería”.

Recomendación: soluciones para evitar ransomware

Las siguientes soluciones están disponibles en el portafolio de Nova:

Apex One

Una solución de seguridad de Trend Micro. Es una solución que ofrece una amplia gama de funcionalidades de seguridad, como protección de amenazas en tiempo real, prevención de intrusiones, parcheo virtual, detección de comportamientos sospechosos y protección contra ransomware. Apex One se puede utilizar tanto en endpoints como en servidores y se puede integrar con otras soluciones de seguridad de Trend Micro y con sistemas de gestión de seguridad de terceros.

Una característica destacable es su adaptabilidad constante, aprendiendo y compartiendo de forma automática información sobre amenazas en su entorno.

Email Security

Solución de Trend Micro diseñada para proteger tu organización de amenazas a través de correo electrónico, ayuda a evitar spam, phishing, correos sospechosos, virus y otros tipos de malware que se distribuyen a través de correo electrónico, además nos ayuda a proteger la información confidencial de nuestra organización.

29 diciembre, 202211 abril, 2023

Incrementos de ataques informáticos en escuelas de EUA

Durante el último año se han detectado ataques informáticos en diferentes institutos educativos de Estados Unidos, tal como el ataque que sufrió la Universidad Xavier ubicada en Cincinnati, Ohio.

El presidente de la universidad, Reynold Verret, dio a conocer el ataque mediante un correo a los empleados y estudiantes del instituto, así mismo a través de éste, comentó de una interrupción en la red el 22 de noviembre que se dio para que expertos en seguridad pudieran realizar la investigación correspondiente. Se determinó que fue un “evento de cifrado” que de acuerdo con sus características fue un ransomware, y a través de la investigación se enteraron de que los actores malintencionados afirmaban haber robado información personal de estudiantes.

Así mismo, hace unos meses se dio a conocer el ataque de un ransomware en Los Angeles Unified School District, dicho ataque llevó a la ruptura a el segundo sistema escolar más grande de Estados Unidos, con más de 650.000 estudiantes y 75.000 empleados, lo cual obligó al cierre de algunos de los sistemas informáticos del distrito.

El FBI emitió una alerta el año pasado mencionando que los ataques informáticos y el ransomware se dirige cada vez más a las instituciones educativas. Este año ataques como los ya mencionados y como los ataques a Knox College en Galesburg, Illinois permitieron observar que la información había sido comprometida.

Descubrieron que los ataques informáticos están utilizando varias técnicas, entre ellas:

Phishing, suplantación de correo electrónico o de un sitio web, con la finalidad de obtener información sensible o datos confidenciales.
Ransomware, software malicioso que bloquea el acceso a los archivos de una computadora, comúnmente cifrando la información y solicitando una cantidad monetaria para el rescate de ésta.
Distributed Denial of Service (DDoS), que impiden o perjudican el uso autorizado de redes, sistemas o aplicaciones por parte de múltiples máquinas que operan juntas para abrumar a un objetivo.
Interrupciones de videoconferencias, ataques que interrumpieron teleconferencias y aulas en línea, a menudo con imágenes pornográficas o de odio y lenguaje amenazante.

El incremento de ataques en escuelas, hospitales y municipios preocupa a los gobiernos y/o directivos de estas instituciones, motivándolos a implementar soluciones de ciberseguridad, ya que los ataques a éstas, no sólo pone en riesgo la información del personal, sino también la de la población que interactúa con ellas.

Muchas empresas o instituciones a pesar de contar con herramientas de ciberseguridad tienen problemas con las actualizaciones de seguridad (firmas, patrones, reglas de detección, etc.), así como en actualizaciones de software (motores de detección, optimización, etc.) lo cual dificulta la detección de amenazas. No siempre tienen desplegadas estas herramientas en todos los equipos que conforman su infraestructura, por desconocimiento de todos los activos, o porque los usuarios ingresan dispositivos externos a la empresa, etc.

Una de las partes fundamentales para la integración de herramientas de ciberseguridad, es conocer todos los activos dentro de su infraestructura, para que de esta forma conozcan que equipos cuentan con la protección correspondiente y así mismo tener la visibilidad del estatus de ésta. A lo largo de nuestra trayectoria hemos observado que hay empresas que tienen inventarios incompletos, en archivos de texto plano, como archivos Excel, e incluso hay empresas que no llevan algún inventario de éstos.

Recomendación

Herramientas como Proactivanet, presente en la cartera de soluciones de Nova, nos ayuda a optimizar que todo esté inventariado, dando visibilidad y control de los activos que se conecten a la infraestructura, el inventario de software instalado en los equipos, detección de software nuevo y/o no autorizado, detección de vulnerabilidades potenciales, y también permite el despliegue de parches, nuevas aplicaciones, archivos batch, además de proveernos una configuración centralizada.

Otro punto importante es considerar herramientas de detección avanzada, un antimalware convencional ya no es suficiente para proteger nuestra infraestructura, realizar detecciones mediante machine learning (ML) es lo óptimo, herramientas como Cortex XDR, que cuenta con características de detección avanzada como Behavioral Threat, Anti-Ransomware, Child Process Protection, que aprovechan tecnologías para detectar ransomware, tanto conocidos como de día cero (0-day).

31 agosto, 202231 agosto, 2022

SolidBit Ahora también en versión RaaS.

Los investigadores de Trend Micro analizaron recientemente una muestra de una nueva variante de ransomware SolidBit que se dirige a los usuarios de videojuegos populares y plataformas de redes sociales. El malware está disfrazado de diferentes aplicaciones, incluida una herramienta de verificación de cuentas de League of Legends y un bot de seguidores de Instagram, para atraer a las víctimas.

Videojuegos.

El verificador de cuentas de League of Legends en GitHub se incluye con un archivo que contiene instrucciones sobre cómo usar la herramienta, pero ese es el alcance de la pretensión: no tiene una interfaz gráfica de usuario (GUI) o cualquier otro comportamiento relacionado con su supuesta función. Cuando una víctima desprevenida ejecuta la aplicación, automáticamente ejecuta códigos maliciosos de PowerShell que eliminan el ransomware. Otro archivo que viene con el ransomware se llama “Código fuente”, pero parece ser diferente del binario compilado.

Redes sociales.

¿Has usado estas apps? “Social Hacker” e “Instagram Follower Bot”. Esta nueva variante de SolidBit venía incluida de regalo.

Ambas aplicaciones maliciosas muestran un mensaje de error cuando se ejecutan en una máquina virtual. Muestran el mismo comportamiento que el comprobador de cuentas falso de League of Legends, en el que sueltan y ejecutan un ejecutable que, a su vez, suelta y ejecuta la carga útil del ransomware SolidBit.

SolidBit – RaaS.

Los actores maliciosos detrás de SolidBit no solo están recurriendo a aplicaciones maliciosas como medio para propagar el ransomware. También sabemos que el grupo de ransomware SolidBit ofrece hasta el 80% del pago como comisión a aquellos que penetren el sistema de alguna victima con el malware.

Recomendación.

Trend Micro Apex One y Vision One incluida dentro del portafolio de soluciones de seguridad de Nova, son soluciones que nos ayudan a gestionar la ciberprotección en un panorama de amenazas que evolucionan continuamente, nos pueden ayudar a tener una protección todo en uno automatizada y detallada.

Trend Micro Apex One™ ofrece una detección y respuesta frente amenazas automatizada y avanzada, así como protección contra amenazas en crecimiento como el ransomware sin archivos.

Vision One™ ofrece una perspectiva más amplia y un mejor contexto para detectar amenazas con las capacidades de XDR líderes de la industria.

De igual forma aproveche las técnicas de detección avanzadas para detectar y responder proactivamente ante las amenazas antes de que realicen cualquier daño. Gracias a Trend Micro Vision One™, obtiene capacidades XDR con funcionalidad completa para profundizar en las capacidades de detección, investigación y respuesta, para que pueda ampliarlas en múltiples capas de seguridad para una mayor visibilidad y respuesta ante amenazas que impactan en toda la organización.

Te invitamos a seguir las redes sociales de Nova Instagram, Facebook y LinkedIn para que estes enterado de ésta y más noticias, así podremos ayudarte a estar protegido a través del amplio portafolio de soluciones en Ciberseguridad con el que contamos.

#NovaRecomienda

Consulta la fuente de este artículo aquí:

15 junio, 202217 junio, 2022

Avance de la conferencia RSA: ¿Cómo los gobiernos pueden combatir el Ransomware?

La Conferencia RSA ha sido el evento de ciberseguridad líder en el mundo durante muchos años. Ofrece una amplia gama de oportunidades para aprender sobre las mejores prácticas de seguridad cibernética, hacer demostraciones de productos de seguridad de próxima generación y establecer contactos con colegas de la industria y proveedores y socios con los que quizás desee trabajar.

Ahí se presentan algunas de las siguientes problemáticas a las que se enfrentan gobiernos y organizaciones privadas como el Ransomware.

El Ransomware es un problema creciente. Sólo considere algunos datos:

La violación promedio de ransomware cuesta $ 4.52 millones en daños y costos de resolución.
La cantidad de incidentes de ransomware informados creció un 37 % año tras año y los costos de un incidente aumentaron un 147 %.
Se produce un ataque de ransomware cada 11 segundos, y se proyectó que el ransomware causó $ 20 mil millones en daños globales en 2021.

El ransomware es un problema de todos. En los últimos años, grupos de todos los sectores han experimentado infracciones de ransomware de alto perfil, y eso incluye al sector público y privado.

El 30 de marzo de 2022, el FBI publicó una notificación de que los ataques de ransomware están poniendo a prueba a los gobiernos locales de EE. UU. y otras entidades del sector público. La notificación destacó varios casos en los que el ransomware cerró oficinas públicas, desconectó sistemas y servicios y provocó el robo de gigabytes de datos.

Afortunadamente, el ransomware no es una fuerza imparable. Los gobiernos y las organizaciones pueden construir defensas efectivas que reduzcan el riesgo y el impacto de las infracciones de ransomware.

Un marco práctico para luchar contra el ransomware

El ransomware es un patrón de ataque complejo y multifacético. Comienza mucho antes de que el atacante envíe una nota de rescate y puede continuar mucho después de que la víctima pague el rescate o intente desalojar al atacante.

Para luchar contra el ransomware, debe crear una defensa que sea tan compleja y multifacética como el propio ataque. Debe desplegar una amplia gama de capacidades defensivas en cada etapa de la campaña del atacante.

Aquí hay un marco práctico que describe algunas de las principales capacidades y pasos necesarios para protegerse contra el ransomware. Esta descripción general le dará una buena idea de lo que realmente se necesita para combatir eficazmente el ransomware antes, durante y después de un ataque.

Antes del ataque, el atacante desarrolla inteligencia, control y apalancamiento para colocarlo en una posición desafiante. Para evitar esto, debe levantar una barrera de entrada a su red.

Establezca visibilidad continua de sus endpoints y sus actividades
Elimine las vulnerabilidades conocidas en sus activos a través de una fuerte higiene cibernética
Busque de forma proactiva indicadores de compromiso (IOC) que sugieran que se está produciendo un ataque no detectado

Durante el ataque, el atacante crea tantos problemas como sea posible antes de enviar la nota de rescate. Para luchar contra ellos, debe remediar el ataque y desalojar al atacante lo más rápido posible.

Descubra la causa raíz del ataque, la propagación lateral y los activos comprometidos
Cierre otras vulnerabilidades en su entorno para contener la propagación del ataque
Desaloje a los atacantes y recupere el control de sus sistemas sin pérdida significativa de datos

Después del ataque, el atacante puede lanzar ataques adicionales, ya sea desde un punto de apoyo oculto restante o desde una nueva brecha. Para detenerlos, debe fortalecer su entorno contra el atacante. Específicamente debe:

Encontrar y cerrar las instancias restantes de las vulnerabilidades que explotó el ataque
Encontrar cualquier punto de apoyo restante que los atacantes aún puedan tener y desalojarlos
Mejorar continuamente la salud y la seguridad general de su entorno

Cómo usar Tanium para combatir el ransomware

En nuestro portafolio contamos con la solución Tanium, que proporciona una plataforma de gestión convergente de herramientas, de la operación y seguridad de TI y de nuestros endpoints. La plataforma proporciona visibilidad y control en tiempo real sobre endpoints en redes distribuidas modernas y encaja perfectamente en una estrategia de seguridad más amplia y un ecosistema más grande de herramientas anti-ransomware.

Por sí solo, Tanium puede ayudarlo a combatir el ransomware en cada etapa de un ataque.

Antes del ataque, Tanium hace una higiene cibernética casi perfecta que reduce su superficie de ataque, reduce la posibilidad de sufrir una infracción y limita la posible propagación de cualquier ataque de ransomware que experimente. Con Tanium, puedes:

Crear un inventario completo y en tiempo real de sus endpoints
Parchar, actualizar, configurar y controlar sus endpoints en horas o días
Realizar escaneos continuos y búsquedas puntuales en tiempo real para IOC específicos

Durante el ataque, Tanium puede investigar incidentes casi en tiempo real y aplicar controles rápidamente para desalojar al atacante. Con Tanium, puedes:

Mapear toda la cadena de ataque e identifique que activos se vieron comprometidos
Identificar otros activos vulnerables al ataque y protegerlos proactivamente
Negociar con confianza, sabiendo que puede desalojar al atacante sin compromiso

Después del ataque, Tanium puede aprender del ataque y endurecer el entorno contra un segundo ataque o un patrón de ataques similares. Con Tanium, puedes:

Encontrar y cerrar las instancias restantes de las vulnerabilidades que explotó el ataque
Escanear en busca de rastros restantes de los atacantes y desalojarlos por completo
Mejorar la higiene cibernética fundamental para reducir la posibilidad de cualquier violación

Te invitamos a seguir las redes sociales de Nova, Instagram, Facebook y LinkedIn para más contenido de ciberseguridad y tecnologías de la información.

#NovaInforma

8 junio, 202210 junio, 2022

Foxconn confirma que el ataque de ransomware interrumpió las operaciones en una fábrica con sede en México.

El gigante de fabricación de teléfonos inteligentes Foxconn ha confirmado que un ataque de ransomware a fines de mayo interrumpió las operaciones en una de sus plantas de producción con sede en México.

La planta de producción afectada es Foxconn Baja California, ubicada en la ciudad de Tijuana en la frontera con California, la cual se especializa en la producción de dispositivos médicos, electrónica de consumo y operaciones industriales. La compañía dijo que, si bien las operaciones en la planta se vieron interrumpidas como resultado del ataque de ransomware, la fábrica está “volviendo gradualmente a la normalidad”.

Foxconn se negó a decir si se accedió a algún dato como resultado del ataque, ni proporcionó información sobre quién fue el responsable. Sin embargo, los operadores de LockBit, una destacada operación de ransomware como servicio (RaaS), se responsabilizaron del ataque del 31 de mayo y amenazan con filtrar los datos robados a menos que se pague un rescate antes del 11 de junio. Las demandas de LockBit siguen siendo desconocidos y Foxconn se negó a comentar si había pagado la demanda de rescate.

Esto ya había pasado.

Esta no es la primera vez que Foxconn ha sido atacado por ransomware. En diciembre de 2020, la empresa dijo que algunos de sus sistemas con sede en EE. UU. habían sido atacados por los operadores del ransomware DoppelPaymer, quienes exigieron un pago de 34 millones de dólares en bitcoins.

El ransomware LockBit surgió por primera vez como el “ransomware ABCD” en septiembre de 2019, que se mejoró para convertirse en una de las familias más prolíficas de la actualidad.

A través de sus operaciones profesionales y su sólido programa de afiliados, los operadores de LockBit demostraron que estaban en esto a largo plazo. Por lo tanto, familiarizarse con sus tácticas ayudará a las organizaciones a fortalecer sus defensas contra los ataques de ransomware actuales y futuros.

LockBit utiliza un modelo de ransomware como servicio (RaaS) y constantemente concibe nuevas formas de mantenerse por delante de sus competidores. Sus métodos de doble extorsión también agregan más presión a las víctimas, aumentando las apuestas de sus campañas.

Operando como un RaaS, las cadenas de infección de LockBit muestran una variedad de tácticas y herramientas empleadas, dependiendo de los afiliados involucrados en el ataque. Los afiliados suelen comprar el acceso a los objetivos de otros actores de amenazas, que normalmente lo obtienen a través de phishing, explotando aplicaciones vulnerables o cuentas de protocolo de escritorio remoto (RDP) de fuerza bruta.

Recomendación.

Acronis Cyber Protect incluida dentro del portafolio de soluciones de seguridad de Nova, es una solución que nos ayuda a gestionar la ciberprotección en un panorama de amenazas que evolucionan continuamente. Podemos proteger los datos frente a cualquier amenaza con Acronis Cyber Protect, la única solución de ciberprotección que integra de forma nativa protección de datos y ciberseguridad.

Los datos se han convertido en el recurso más importante del mundo y los ciberdelincuentes extorsionan a diario a empresas de todos los países para conseguir los suyos. El ransomware pone en riesgo los datos de sus clientes y sus empleados, sus secretos comerciales e incluso la propia existencia de su empresa. Las soluciones de Acronis utilizan ciberprotección de próxima generación para frenar el ransomware de raíz, incluso las variantes que no se habían detectado nunca antes.

Dentro de las funcionalidades que Acronis Cyber Protect son las siguientes:

Copia de seguridad y recuperación líderes del mercado

Elimina las brechas en su seguridad con tecnologías integradas de copia de seguridad y antiransomware.

Ciberseguridad para vencer a cualquier amenaza

Defiende cada bit de datos contra las ciberamenazas nuevas y en evolución, con protección contra el malware basada en inteligencia automática.

Administración de protección integrada

Simplifica la protección de los endpoints con filtrado de URL integrado y automatizado, evaluaciones de vulnerabilidades, administración de parches y otras funciones.

Una vez implementado Acronis Cyber Protect tendremos las herramientas de protección con Ciberseguridad la cual con métodos integrados elimina los desafíos de complejidad y entrega mejor protección contra las amenazas actuales y maximiza la eficiencia en tiempo y dinero con la completa protección anti-malware y la administración de endpoints, para simplificar las operaciones de los equipos de TI.

Síguenos en Instagram, Facebook y LinkedIn para más contenido de ciberseguridad y tecnologías de la información.

Consulta la fuente de este artículo aquí:

#NovaRecomienda

26 mayo, 202226 mayo, 2022

Emotet está de vuelta después de 10 meses, con nuevas técnicas para propagar malware.

La botnet parece utilizar un nuevo método de entrega para comprometer los sistemas Windows después de que Microsoft deshabilita las macros de VBA de forma predeterminada.

Los ataques de malware de Emotet están de vuelta después de un “spring break” de 10 meses. Ese nuevo enfoque incluye ataques de phishing más específicos, diferentes de las campañas anteriores.

Analistas vincularon esta actividad con el actor de amenazas conocido como TA542, que desde 2014 ha aprovechado el malware Emotet con gran éxito.

Emotet, una vez apodado “el malware más peligroso del mundo” está siendo aprovechado en su campaña más reciente para entregar ransomware. Los responsables de la distribución del malware han estado en la mira de las fuerzas del orden durante años. En enero de 2021, las autoridades de Canadá, Francia, Alemania, Lituania, los Países Bajos, Ucrania, el Reino Unido y los Estados Unidos trabajaron juntos para derribar una red de cientos de servidores de botnets que soportan Emotet, como parte de la “Operación LadyBird”.

Nueva fase de Emotet

Los atacantes detrás del malware han enviado millones de correos electrónicos de phishing diseñados para infectar los dispositivos con malware y pueden ser controlados por botnets.

Esta nueva prueba de correos electrónicos de phishing podría ser el resultado de las acciones de Microsoft para deshabilitar macros específicas asociadas con las aplicaciones de Office en febrero de 2022. En ese momento, Microsoft dijo que estaba cambiando los valores predeterminados para cinco aplicaciones de Office que ejecutan macros. Esto evita que los atacantes se dirijan a documentos con servicios de automatización para ejecutar el malware en los sistemas de las víctimas.

Las nuevas técnicas observadas en campañas recientes parecían probarse a menor escala, como una prueba de potencial para una campaña más grande.

Las nuevas campañas utilizan cuentas de correo electrónico comprometidas para enviar correos electrónicos de spam-phishing con un título llamativo de una palabra. Los términos comunes en los ataques de phishing incluyen “salario” se utilizan para alentar a los usuarios a hacer clic por curiosidad, las nuevas técnicas observadas en campañas recientes parecían probarse a menor escala, como una prueba de potencial para una campaña más grande.

Según los investigadores, el uso de URL de OneDrive y XLL hace que esta campaña sea distinta de las anteriores. Anteriormente, Emotet intentó propagarse a través de archivos adjuntos de Microsoft Office o URL de phishing. Esas cargas maliciosas incluían documentos de Word y Excel que contenían scripts o macros de Visual Basics para Aplicaciones (VBA).

Recomendación

Trend Micro Email Security, incluido dentro del portafolio de NOVA nos ayuda a detener ataques de phishing, ransomware y BEC. Con tecnología de seguridad XGen™, nuestra solución utiliza una combinación óptima de técnicas de amenazas intergeneracionales, como machine learning, análisis en sandbox, prevención de pérdida de datos (DLP) y otros métodos para detener todo tipo de amenazas de correo electrónico.

También cuenta con autenticación basada en el dominio, SPF, DKIM y DMARC son tres sistemas de autenticación de correo electrónico que protegen contra el falseamiento del correo electrónico.

El marco de directivas de remitente (SPF) es un estándar abierto para evitar la falsificación de direcciones de remitente. El SPF protege el remite, que se usa para entregar los mensajes de correo electrónico. Email Security le permite comprobar la autenticidad del remitente mediante la configuración de SPF.

DomainKeys Identified Mail (DKIM) es un sistema de validación de correo electrónico que detecta el falseamiento del correo electrónico validando la identidad del nombre de dominio asociada con un mensaje mediante la autenticación criptográfica. Asimismo, DKIM se usa para garantizar la integridad de los mensajes entrantes y para comprobar que un mensaje no se ha alterado durante la transferencia.

La autenticación de mensajes, informes y conformidad basada en dominios (DMARC) es un sistema de validación de correo electrónico que permite detectar y evitar el falseamiento de correo electrónico. Está diseñado para luchar contra determinadas técnicas que se utilizan en el phishing y el spam, como mensajes de correo electrónico con direcciones de remitentes falsos que parecen proceder de organizaciones legítimas. Permite autenticar mensajes de correo electrónico para dominios específicos, enviar información a los remitentes y ajustarse a una política publicada.

Una vez implementado Trend Micro Email Security los administradores de correo pueden configurar reglas para detectar y eliminar malware de los mensajes entrantes antes de que lleguen a la red corporativa Email Security puede poner en cuarentena el spam detectado y otros mensajes inadecuados.

Síguenos en Instagram, Facebook y LinkedIn para más contenido de ciberseguridad y tecnologías de la información.

Consulta a fuente de la noticia aquí.

#NovaRecomienda

16 marzo, 202216 marzo, 2022

La guerra Rusia-Ucrania explotada como señuelo para la distribución de malware

Los grupos de distribución de malware actualmente están utilizando temas de phishing relacionados con la invasión de Ucrania, teniendo como objetivo infectar con troyanos de acceso remoto (RAT) como Agent Tesla y Remcos a las personas a las que les llegan estos correos.

Comúnmente los distribuidores de malware se aprovechen de las tendencias mundiales para engañar a los destinatarios para que abra los archivos adjuntos entregados por correo electrónico y, actualmente, no hay nada más vigilado que la invasión rusa a Ucrania.

Con este tema, los actores de amenazas envían emails maliciosos que instalan RAT en los sistemas de los destinatarios para obtener acceso remoto, extraer información confidencial, escanear nuestra red, desactivar el software de seguridad y, en general, preparar el terreno para cargas útiles más potentes, como los podría ser el despliegue de Ransomware.

Apuntando a fabricantes

Ucrania es un centro de fabricación de varias piezas, y el conflicto actual ha obligado a las fábricas a cerrar sus operaciones, creando inevitablemente problemas y escasez en la cadena de suministro.

Una de las principales campañas detectadas, es intentar explotar estas preocupaciones, dirigiéndose a los fabricantes con un archivo adjunto ZIP que supuestamente contiene una encuesta que deben completar para ayudar a sus clientes a desarrollar planes de respaldo.

Sin embargo, dicho archivo ZIP contiene un Agente Tesla RAT, que se ha utilizado mucho en varias campañas de phishing en el pasado.

La mayoría (83 %) de los correos electrónicos de phishing en esta campaña se originaron en los Países Bajos, mientras que los objetivos se encuentran en la República Checa (14 %), Corea del Sur (23 %), Alemania (10 %), Reino Unido (10 %), y EE. UU. (8 %).

Retenciones de pedidos falsos

La segunda campaña es una suplantación de identidad de una empresa médica de Corea del Sur que fabrica sistemas de diagnóstico in vitro.

El mensaje que le llega a sus objetivos afirma que todos los pedidos han sido suspendidos debido a restricciones de vuelos y envíos desde Ucrania.

El documento de Excel adjuntado en dicho correo supuestamente contiene más información sobre el pedido, pero en realidad, es un archivo con macros que explota la vulnerabilidad del Editor de ecuaciones de Microsoft Office, también conocida como CVE-2017-11882, para entregar el Remcos RAT en el sistema.

El 89% de estos correos electrónicos provienen de direcciones IP alemanas, mientras que los destinatarios se encuentran en Irlanda (32%), India (17%) y EE. UU. (7%).

Una de las soluciones para prevenir la ejecución de software no autorizado, así mismo detectar actividades potenciales de ransomware es Tanium, la cual se encuentra en el portafolio de Ingeniería Aplicada Nova, dicha herramienta cuenta con una variedad de módulos que nos permiten tener una mejor visibilidad, control e incremento de seguridad en nuestra infraestructura, así mismo nos permite acelerar la respuesta ante incidentes, los principales módulos que nos permiten a detener la ejecución de software no autorizado, así mismo detectar actividades de ransomware son:

Tanium Threat Response

Este módulo supervisa la actividad en tiempo real de nuestros EndPoints y genera alertas cuando se detectan comportamientos maliciosos.

Tanium Enforce

Este módulo nos permite realizar listas blancas utilizando Applocker, para solo permitir la ejecución de software autorizado por la empresa y así evitar que se ejecute software no autorizado en los puntos finales.

Si deseas conocer más sobre esta solución, puedes consultar informaciones en: TANIUM, no olvides seguirnos en nuestras redes sociales FACEBOOK y LINKEDIN para revisar más contenido de ciberseguridad.

Consulta la fuente de este artículo aquí:

#NovaRecomienda.

28 febrero, 202228 febrero, 2022

Ciberataques desaparecen los sitios web de Ucrania.

Con la Invasión rusa en marcha, expertos archivistas tratan de salvar la historia digital de un país entero.

Los sitios web del gobierno ucraniano se desconectaron mientras las tropas rusas avanzaban el pasado jueves 24 de febrero, los investigadores de ciberseguridad han descubierto malware que borra información en miles de computadoras ucranianas, esto significa que los ciberataques están avanzando a la par de los ataques aéreos rusos.

Desde el 2014 Rusia ha lanzado cantidad de ataques cibernéticos a Ucrania sin precedentes, los expertos temen que se pierda la información de este país, concretamente el temor se centra en los sitios web gubernamentales y culturales, pues con el Presidente Vladimir Putin prometiendo un cambio de régimen es probable que esta información se pierda para siempre.

La respuesta de archivistas de todo el mundo fue impresionante, pues comenzaron a dedicar ancho de banda y espacio en discos para preservar la historia digital del país, sin embargo no es una tarea sencilla, no solo por la cantidad de información, también tienen que ver otros factores como la veracidad y confiabilidad de la misma, se sabe que en tiempos de guerra los bandos suelen destruir cierta información y escribir convenientemente su versión de los hechos, aquí es cuando los archivistas deben tener cuidado con la información que están respaldando pues quizá en 50 años lo que está sucediendo hoy se cuente de otra forma.

Algunos expertos explican también que no se trata de archivar información clasificada, más bien es información que se ha puesto en línea para que el resto del mundo la vea, pero si mañana Ucrania se vuelve parte de Rusia entonces esta información podría ser eliminada.

Herbert Lin, un erudito en seguridad y política cibernética de la Universidad de Stanford, dice que simpatiza con la misión de los archivistas y está de acuerdo en que la posibilidad de un día del juicio final para la información de Ucrania es una preocupación legítima para los historiadores.

“Digamos que los rusos pueden establecer un gobierno pro-Putin y pro-Kremlin y ahora este gobierno dice que hay todo tipo de mierda en Internet ucraniano. No nos gusta que esté allí porque muestra una historia que creemos que no sucedió, y todo es un montón de mentiras y lo vamos a limpiar y las órdenes van a limpiarlo todo. Y luego el miedo es que todas las cosas que deberían haber estado allí, que antes estaban allí bajo un gobierno libre, ahora se han ido, ¿verdad?”

Dijo Lin en una entrevista donde también recomendó a las personas que deseen ayudar a preservar la historia sean conscientes de los riesgos del rastreo basado en eventos: pues para cualquier empresa estadounidense que tenga algo que ver con Ucrania podría ser un objetivo potencial para los ciberataques rusos.

Si bien los archivistas e historiadores de ciberseguridad concuerdan en que los resultados de estos intentos mostrarán una imagen digital fragmentada de cómo es realmente la crisis en Ucrania, se espera que muchos sigan intentando archivar el internet ucraniano con las herramientas disponibles, lo que quizá se vuelva una ventana adicional al pasado para historiadores del futuro.

Algo similar sucede con la información de las organizaciones, hoy queremos recomendar algunas buenas prácticas de ciberseguridad para cuidar tu activo más importante de ciberataques, la información.

El 80% de las vulneraciones de datos son causadas por ciberataques, cuando dejamos entrar a alguien ajeno a nuestros datos.

¿Qué pasaría si los ataques rusos se vuelven globales, tu información está respaldada?

Es muy importante contar, con copias de seguridad tanto de la información de la organización como la de los clientes, el problema es que los volúmenes de datos no dejan de crecer, los equipos de TI no suelen tener el tiempo para dedicarse a supervisar las copias de seguridad, muchas veces se quiere ampliar el control de respaldos sin tener que asignar personal adicional a estas tareas, en Nova estamos conscientes de esta problemática y podemos ayudar a simplificar estas tareas con la solución N‑able™ Backup.

N-able permite adaptarnos a nuestros clientes a medida que estos crecen, así convertir los servicios de respaldo en un factor rentable donde podemos:

Proteger los datos de clientes estén donde estén.
Minimizar el error humanos y mejorar la eficiencia
Permite proporcionar elevados niveles de servicio
Anular ataques de ransomware mediante las copias de seguridad almacenadas directamente en la nube
Realizar copias de seguridad con más frecuencia y archivar los datos más tiempo sin costos adicionales.

Si quieres saber más de cómo mejorar tu estrategia de respaldos o tienes alguna duda al respecto puedes ponerte en contacto con nosotros nuestros expertos en ciberseguridad te atenderán en breve.

Síguenos en Instagram, Facebook y LinkedIn para más contenido de ciberseguridad y tecnologías de la información.

Consulta la fuente de este artículo aquí.

#NovaRecomienda

3 febrero, 20223 febrero, 2022

¿Están los endpoints en riesgo de ataques por la vulnerabilidad Log4Shell?

A finales del año pasado, surgió la vulnerabilidad Log4Shell (CVE-2021-44228), una vulnerabilidad crítica en el paquete de registro Java de Apache Log4j. Explotar Log4Shell a través de mensajes de registro creados puede permitir que un atacante ejecute código en máquinas remotas. El impacto potencial de esta vulnerabilidad es lo suficientemente peligroso para ganar una puntuación de 10.0 basado en la versión 3.x de CVSS y un 9.3 basado en la versión 2.0 de CVSS en términos de riesgo crítico – y es fácil ver por qué.

Esta vulnerabilidad tiene el potencial de tener consecuencias importantes debido al amplio uso de Log4j. Cuando un usuario con malas intenciones logra obtener el control del sistema de mensajería de registros y afectar el proceso Log4j relevante, puede llevar ataques posibles de ejecución remota de código.

Aunque los ataques hasta ahora se han dirigido al nivel del servidor, podría existir una segunda ola de ataques que podría poner en riesgo a los endpoints.

Posibles ataques a dispositivos

Un actor malicioso puede usar la vulnerabilidad para detonar ataques contra los dispositivos de consumidor e incluso automóviles. por ejemplo, demostraciones recientes de varios investigadores han mostrado como los IPhones de Apple e incluso los automóviles de Tesla pueden verse comprometidos a través de simples cadenas de exploits, después de las cuales se pueden realizar comandos y robarse datos sensibles de los servidores del backend que se usan para estas máquinas.

Los servidores continúan siendo los blancos con el nivel de riesgo más alto de ataques de Log4Shell, especialmente los servidores de cara al internet que están usando versiones vulnerables de Log4j ya que son los más fáciles de comprometer, seguidos de los servidores internos que están corriendo versiones vulnerables de Log4j pero también tienen algún tipo de servicio expuesto que puede ser comprometido por los brokers de acceso. Finalmente, es posible que los actores maliciosos podrían comenzar atacar computadoras de escritorio que están corriendo versiones vulnerables de Log4j a través de ciertas aplicaciones en el escritorio.

¿Qué puede hacer?

Recomendamos revisar constantemente si tus equipos son vulnerables, si crees que tu infraestructura está en riesgo te invitamos a utilizar la herramienta de evaluación gratuita que ha creado Trend Micro de escaneo de vulnerabilidades que puede cubrir todos los escenarios posibles – incluyendo ataques en servidores, computadoras de escritorio y endpoints. La herramienta puede ayudar a los usuarios a revisar si están corriendo aplicaciones que tienen una versión vulnerable del Log4j.

Debido a que los exploits de Log4Shell ya se han utilizado de forma maliciosa, debe de ser una prioridad para todos parchar las máquinas vulnerables. La mayoría de los vendors de software han liberado guías para ayudar a sus clientes a llegar a una solución apropiada. Se recomienda ampliamente que los usuarios aplican los parches de sus vendors a la última versión conforme se hacen disponibles. También si lo requieres en Nova podemos hacer un asessment para ti y corregir las brechas de seguridad de tu infraestructura si la herramienta encontró vulnerabilidades y no sabes que hacer, consúltanos.

No olvides seguirnos en Instagram, Facebook y LinkedIn para más contenido de ciberseguridad y tecnologías de la información, estamos seguros de que no querrás perdértelo.