logo nova
Search
logo nova

Etiqueta: ransomware

Publicado en

Vulnerabilidad Log4J usada para esparcir Ransomware.

ransomware Nova

Los grupos de Hackers han acudido en masa para aprovechar la vulnerabilidad Log4J, que ha abierto la puerta a más ataques.

Los grupos de ransomware están acudiendo a la exploración de la vulnerabilidad Log4j, la cual ha afectado a empresas de todo el mundo en las últimas semanas, lo que ha abierto la puerta para que los Hackers intenten más ataques en el lado del servidor. 

Resumen de la vulnerabilidad

Log4j es una vulnerabilidad de JavaScript que está presente en millones de sistemas alrededor del mundo, la cual se descubrió a principios de este mes, esta ha creado las condiciones perfectas para que los grupos de ransomware ataquen. La omnipresencia de Log4J como un componente básico de tantos productos de software, combinada con la dificultad de parchear la vulnerabilidad, hace que este sea un problema crítico que abordar para muchas organizaciones.

Los hackers aprovechan la vulnerabilidad de esta forma

Log4j empieza a ser responsable para iniciar propagación de Ransomware, un ejemplo de ello es que esta vulnerabilidad es la responsable de revivir una cepa de ransomware que no ha estado tan activa desde el 2020. TellYouThePass no se ha visto desde julio de 2020, pero ahora ha regresado y ha sido una de las amenazas de ransomware más activas que se aprovecha de Log4J. “Hemos visto específicamente a los actores de amenazas que utilizan Log4J para intentar instalar una versión anterior de TellYouThePass”, explica Sean Gallagher, investigador de amenazas de la empresa de seguridad Sophos. “En los casos en los que hemos detectado estos intentos, se han detenido. TellYouThePass tiene versiones de Windows y Linux, y muchos de los intentos que hemos visto se han dirigido a servidores basados ​​en la nube en AWS y Google Cloud”.

Recomendación

La solución Workload Security (Deep Security) de Trend Micro, cuenta con módulos para la identificación y detección de ambos tipos de ataques. Esta herramienta cuenta con un motor de Anti-Malware, el cual no se basa solamente en patrones, si no que ya cuenta con la identificación mediante heurística. Con Predictive Machine Learning nos apoya a la identificación de Ransomware mutado o variantes conocidas, así mismo con Behavior Monitoring identifica estas amenazas mediante el comportamiento que realiza la amenaza al ejecutarse, lo cual identifica Ransomware no tan conocido, dirigido o de 0-day.

La solución cuenta con un módulo HIPS (Host Intrusion Prevention System), el cual mediante reglas (Creadas por Trend Micro o manualmente) parchea virtualmente el servidor, lo cual nos apoya a que la explotación de ciertas vulnerabilidades no sea satisfactoria. En el caso de la vulnerabilidad Log4J ya se cuentan con un par de reglas para ser mitigada.

Te invitamos a seguirnos en nuestras redes sociales Instagram, Facebook y LinkedIn para encontrar éstas y demás soluciones que NOVA ofrece para mantener tu infraestructura de red segura y libre de ciber amenazas.

Consulta las fuentes de este artículo aquí:

#Novainforma

Publicado en

Vulnerabilidad de Día-0 Apache Log4j Remote Code Execution Vulnerability

alerta log4j

El 9 de diciembre de 2021, se hizo pública una vulnerabilidad crítica de día-0 que afecta a múltiples versiones de una biblioteca de registro Apache Log4j 2 comúnmente usada en aplicaciones Web, y que al ser explotada, podría resultar en la ejecución remota de código (RCE), Como toda vulnerabilidad expuesta de ejecución remota de código, puede estar ligada a diversos ataques de diversos tipos como coinminers, cryptojacking y también podría resultar en ataques de ransomware.

A esta vulnerabilidad se le identifica como CVE-2021-44228 y también se le conoce en el medio como “Log4Shell”.

Las versiones de la biblioteca afectadas son las versiones de Apache Log4j 2.x menores o iguales a 2.15.0-rc1

Software Afectado

Un número significativo de aplicaciones basadas en Java utilizan log4j como su utilidad de registro y son vulnerables a este CVE. Se tiene conocimiento que al menos el siguiente software puede verse afectado:

  • Apache Struts
  • Apache Solr
  • Apache Druid
  • Apache Flink
  • ElasticSearch
  • Flume
  • Apache Dubbo
  • Logstash
  • Kafka
  • Spring-Boot-starter-log4j2

Fabricantes como Trend Micro y Palo Alto Networks han publicado las reglas para su actualización automáticas principalmente del módulo IPS que pueden contener y otros módulos que pueden registrar esta clase de ataques para fines de detección y respuesta.

Reglas Trend Micro Cloud One – Workload Security and Deep Security IPS

  • Rule 1011242 – Log4j Remote Code Execution Vulnerability (CVE-2021-44228)
  • Rule 1005177 – Restrict Java Bytecode File (Jar/Class) Download
  • Rule 1008610 – Block Object-Graph Navigation Language (OGNL) Expressions Initiation In Apache Struts HTTP Request

https://success.trendmicro.com/solution/000289940

Los firewalls con una suscripción de seguridad de Prevención de amenazas pueden bloquear automáticamente las sesiones relacionadas con esta vulnerabilidad mediante el ID de amenaza 91991 (lanzado inicialmente con la actualización de contenido de aplicaciones y amenazas versión 8498 y mejorado con la versión 8499).

https://unit42.paloaltonetworks.com/apache-log4j-vulnerability-cve-2021-44228/

No olvides seguirnos en Instagram, Facebook y LinkedIn para más contenido de ciberseguridad y tecnologías de la información, estamos seguros de que no querrás perdértelo.

#AlertaDeSeguridad #Nova

Publicado en

Panasonic reconoce ser víctima de un hackeo desde hace casi medio año.

hacker attack

Actualmente la empresa se encuentra en investigaciones para saber si los datos robados han sido expuestos y tratar de descubrir a los autores del ciberataque.

La situación

Panasonic ha admitido recientemente que su red corporativa fue comprometida por un acceso no autorizado en noviembre, sin embargo, aunque el comunicado fue publicado el 11 de noviembre, el ataque existe desde el 22 de junio, por aproximadamente 5 meses los atacantes pudieron acceder a los datos de sus servidores.

Aunque ya se han tomado cartas en el asunto y la empresa implementó medidas de seguridad para evitar el acceso externo a su red, todavía no hay un estimado real de qué tanta información fue robada.

Panasonic está trabajando con expertos en ciberseguridad para investigar si la brecha de información expuso a consumidores, datos personales o información sobre infraestructuras sociales.

La empresa también está llevando a cabo una investigación interna para intentar descubrir a quienes han sido los autores del ataque.

La empresa ha expresado una disculpa por los inconvenientes que pudiesen suscitarse tras este incidente de seguridad.

Aun así, no podemos pasar por alto que la empresa había sufrido un ciberataque de Ransomware hace menos de un año. En el se filtró información personal, financiera y direcciones de correo electrónico. Es posible que el acceso ilegal a la red sea consecuencia de este ataque.

Recomendación:

Para evitar ataques de cualquier tipo, incluyendo el ransomware lo más importante es contar con una estrategia de ciberseguridad preventiva, de esta forma minimizamos el impacto en nuestra infraestructura, debemos tener visibilidad de todo el parque informático, así como planes de acción para reaccionar en caso de un ataque, la forma de prevenir incidencias es manteniendo los equipos siempre actualizados.

Herramientas como Proactivanet pueden ayudar a las organizaciones a conocer por completo toda su infraestructura y el estado de sus equipos, cuales tienen antivirus, monitoreo de sus parches de seguridad y otras cuestiones clave para mantener una infraestructura segura.

Contáctanos si necesitas más información.

No olvides seguirnos en Instagram, Facebook y LinkedIn para más contenido de ciberseguridad y tecnologías de la información, estamos seguros de que no querrás perdértelo.

Consulta las fuentes de este artículo aquí:

#NovaInforma

Publicado en

MediaMarkt sufre un ataque de ransomware que ha encriptado la mayoría de sus servidores, a pocos días del Black Friday

ransomware

MediaMarkt ha sufrido un ataque de ransomware que ha encriptado la mayoría de la información, este ataque afecto a más de 3.000 de sus servidores en toda Europa se trata de servidores internos, por eso las webs siguen funcionando, pero los empleados no pueden usar los ordenadores, así que solo pueden vender lo que tienen en las tiendas físicas en este momento, los sistemas de cobro también fueron afectados, además de los servicios de recogida y devolución. Según una investigación de RTL News, el ataque fue llevado a cabo por Hive, un grupo de piratería que a menudo ataca a grandes empresas e incluso a hospitales. La pandilla también atacó anteriormente en los Países Bajos.

Hive es un grupo de piratería bastante nuevo. Después de un ataque a la compañía de software Altus el verano pasado, el grupo entró en escena por primera vez. Los piratas informáticos filtraron datos de la empresa porque se negaron a pagar el rescate de sus archivos cifrados.

Desde entonces, los servicios de investigación han tenido a Hive en la mira. El grupo de piratas informáticos ataca a las empresas, toma archivos como rehenes e inutiliza sus sistemas informáticos. El grupo es conocido por ser minucioso y también por eliminar copias de seguridad de las computadoras de las víctimas para que no se puedan restaurar fácilmente.

No todos los grupos de piratería atacan las empresas críticas de esta forma. Algunos grupos no se centran explícitamente en empresas de la infraestructura crítica, como empresas eléctricas, hospitales o instituciones educativas.

Hive no hace esta distinción y ha lanzado con éxito ataques contra tales objetivos. En agosto, por ejemplo, Hive tomó como rehenes los sistemas hospitalarios en los EE. UU. Como resultado, los procedimientos quirúrgicos y los exámenes radiológicos no pudieron continuar.

Intrusión a través de correos electrónicos de phishing

Según el FBI, que emitió una advertencia sobre el grupo en agosto, los piratas informáticos están enviando correos electrónicos de phishing a empresas, que incluyen archivos infectados. En los correos electrónicos, Hive a menudo pretende ser otra empresa. Si un empleado se topa con el correo de Hive y descarga el archivo infectado, el grupo puede acceder a la red de la empresa.

El grupo también está intentando acceder a través de un sistema que permite controlar sistemas informáticos remotos, el denominado Protocolo de Escritorio Remoto (RDP).

Hackers con su propio servicio de asistencia técnica

Hive es una pandilla profesional y ha creado sitios web para comunicarse con las víctimas. Estos sitios están en la Deep web, la parte obscura de Internet.

Una vez que el grupo de piratería ha atacado a una empresa, deja archivos en las computadoras cifradas. Estos archivos contienen detalles de inicio de sesión que permiten a las víctimas ponerse en contacto con los piratas informáticos en su sitio en la Deep web.

Luego, el rescate se negocia a través de una sección especial de ese sitio.

Recomendación

Tanium, la plataforma en la que las organizaciones confían para obtener visibilidad y control en todos sus endpoints anunció el 9 de noviembre una asociación con Deep Instinct, la primera empresa en aplicar el end-to-end deep learning a la ciberseguridad. La colaboración ofrece a las organizaciones de todo el mundo la capacidad de evolucionar y escalar la seguridad de los endpoints para satisfacer las necesidades de las empresas, mejorando la prevención de malware desconocido antes de que se ejecute e infecte endpoints y entornos de TI. Juntos, Tanium y Deep Instinct garantizan que las organizaciones tengan una cobertura completa de endpoints al tiempo que fortalecen su postura de seguridad general.

Acerca de Deep Instinct

Deep Instinct adopta un enfoque que prioriza la prevención para detener el ransomware y otro malware utilizando el primer y único marco de ciberseguridad de deep learning diseñado específicamente para este fin. Predice y previene amenazas conocidas, desconocidas y de día cero en menos de 20 milisegundos, 750 veces más rápido de lo que puede cifrar el ransomware más rápido. Deep Instinct tiene una precisión de día cero> 99% y promete una tasa de falsos positivos <0.1%. La plataforma de prevención Deep Instinct es una adición esencial a todas las pilas de seguridad, ya que proporciona una protección completa de múltiples capas contra amenazas en entornos híbridos.

“El ransomware es único entre los delitos cibernéticos porque para que el ataque sea exitoso, requiere que la víctima se convierta en cómplice voluntaria después del hecho”

– James Scott

No olvides seguirnos en Instagram, Facebook y LinkedIn para más contenido de ciberseguridad y tecnologías de la información, estamos seguros de que no querrás perdértelo.

Consulta la fuente de este artículo aquí.

#NovaInforma

Publicado en

Hackeo de Olympus en EE. UU. Vinculado a grupo de ransomware ruso

Hackeo

Un ciberataque “en curso” contra el gigante tecnológico japonés Olympus fue causado por un ransomware desarrollado por un grupo criminal ruso.

Una nueva variante de malware conocida como Macaw se utilizó en el ataque que comenzó el 10 de octubre y que cifró los sistemas de Olympus en Estados Unidos, Canadá y América Latina. Macaw es una variante del malware WastedLocker, ambos creados por Evil Corp., un grupo de hackers con sede en Rusia.

Este fue el segundo ataque de ransomware que afecto a esta empresa en lo que va del año, después de que el grupo de ransomware BlackMatter desconectara sus redes en Europa, Oriente Medio y África en septiembre. (No se sabe que BlackMatter y Evil Corp. estén vinculados).

“Olympus fue golpeado por BlackMatter el mes pasado y luego golpeado por Macaw hace aproximadamente una semana”, comento Allan Liska, analista senior de amenazas de la firma de seguridad Recorded Future. 

El martes Olympus dijo en un comunicado que la estaban investigando la “probabilidad de exfiltración de datos”, una técnica común de los grupos de ransomware conocida como “doble extorsión”, en la que los piratas informáticos roban archivos antes de cifrar la red de la víctima y amenazan con publicarlos en línea. si no se paga el rescate para descifrar los archivos.

Bloomberg informó que el malware Macaw también se usó para causar una interrupción generalizada la semana pasada en Sinclair Broadcast Group, que posee y opera 185 estaciones de televisión en más de 80 mercados. 

Si bien es sabido, en el año 2020 con el inicio de la pandemia se observó un incremento de las familias de Ransomware contra las que se hubo en el 2019 y 2018. Cada una de estas familias generan nuevas variantes y/o mutaciones en sus amenazas principales, lo cual hace que la identificación de estos sea más difícil. Este tipo de ataques ya no solo se enfocan en cifrar los archivos y cobrar por la llave de desencriptación de estos, si no que ahora los grupos criminales realizan una copia a sus servidores, para contar con esta y realizar una doble extorsión. Ya que, si no pagas el rescate, la información de las empresas es puesta en venta en la Dark Web o publicada públicamente en internet.

Recomendación

La solución Cortex XDR de Palo Alto Networks que está disponible en el portafolio de Nova es una de las soluciones que nos apoya a prevenir ataques de Ransomware, nos apoya a detectar vulnerabilidades con la pila de prevención más integral para obtener una protección de vanguardia contra exploits, malware, ransomware y ataques sin archivos.

Cortex XDR cuenta con una analítica de comportamiento para descubrir los ataques más sigilosos, lo cual nos apoya a identificar ransomwares de 0-day o las variantes de los que ya existen. Con el aprendizaje automático Cortex XDR perfila continuamente el comportamiento del usuario y del endpoint, y encuentra comportamientos anómalos que indican ataques.

No olvides seguirnos en Facebook y LinkedIn para más contenido de ciberseguridad y tecnologías de la información, estamos seguros de que no querrás perdértelo.

“La desconfianza es madre de la seguridad”

Aristófanes

Consulta las referencias para este artículo aquí.

#NovaInforma

Publicado en

Conciencia sobre ciberseguridad ¿Qué es lo que tengo que saber en estos tiempos?

ciberseguridad

Resta aproximadamente un mes para Octubre mes en el que año con año se celebra en Estados Unidos el mes de la conciencia en ciberseguridad, donde se anima a los usuarios y empresas a mejorar sus esfuerzos en ciberseguridad así como a adoptar medidas que mejoren la privacidad y seguridad en general cuando sea necesario, algunas organizaciones como CISA (Agencia de Seguridad de Infraestructura y Ciberseguridad) y NCSA (Alianza Nacional de Seguridad Cibernética) Promueven esta celebración y anuncian año con año una estrategia de seguridad de cuatro semanas, en donde puedes utilizar el Hashtag #BeCyberSmart para formar parte de este programa, que se estructura de la siguiente manera:

  • Semana 1: si lo conecta, protéjalo
  • Semana 2: protección de dispositivos en el hogar y el trabajo
  • Semana 3: protección de los dispositivos conectados a Internet en el sector sanitario
  • Semana 4: el futuro de los dispositivos conectados

Si estás un poco perdido, no te preocupes, en Nova hemos sintetizado todo lo que necesitas saber durante el mes de la concientización de ciberseguridad en este artículo, te presentamos las amenazas más comunes que intentamos reducir en este evento.

Amenazas de red doméstica: el 70% de los hogares en la actualidad cuentan con amenos un dispositivo domestico inteligente, desgraciadamente estos exponen nuestra información a piratas informáticos, según estudios hay millones de ataques a enrutadores domésticos al mes, esto significa que es necesario tomar medidas para mitigar debilidades, pues los enrutadores suelen ser vulnerables, de hecho, el 83% de estos ataques tienen éxito en diferentes niveles. La recomendación es implementar alguna solución de seguridad de red doméstica que además aborda otras inseguridades que protegen no solo su enrutador, sino también los dispositivos domésticos inteligentes.

Amenazas de endpoint:

Suelen ser ataques dirigidos a usuarios a través de correo electrónico, según Trend Micro, se bloquearon más de 26mil millones de amenazas por correo electrónico la primer mitad del año pasado, estos incluyen phishing, diseñado para engañar y hacer click en enlaces maliciosos que  pueden robar sus datos personales, o descargar Ransomware, así como engaños de sitios que parecen legítimos pero falsificados, en donde roban sus datos, en fin, hay muchas formas en las que un ordenador común es vulnerable, por lo que recomendamos seguridad de endpoint en todos sus equipos.

Amenazas de seguridad móvil:  Una tendencia de este año son los ataques apuntados a teléfonos inteligentes y tabletas, a menudo se descarga malware sin saberlo y los usuarios están más expuestos a los ataques de redes sociales o los que aprovechan redes wi-fi públicas no seguras, uno de los principales indicios de que tu dispositivo está siendo atacado es la publicidad, pues los piratas te llenan de anuncios como una manera de obtener dinero, la realidad es que los dispositivos móviles son blancos fáciles de ataques, la solución además de una solución de seguridad móvil, es usar una VPN personal que se vuelva algo del día a día, parte de su defensa de seguridad diaria.

En conclusión, ahora sabemos que las violaciones de datos e identidad están en todas partes, los robos de datos son un peligro latente, sobretodo es el foco de los piratas informáticos el robo de datos de tarjetas que a veces pueden obtener incluso de sitios legítimos en donde hemos comprado, hacer conciencia de la importancia de la seguridad cibernética es tarea de todos, pero

¿Qué podemos hacer al respecto?

En Nova somos partner de las mejores marcas del mercado, uno de nuestros principales socios de seguridad es Trend Micro, entendemos completamente estas múltiples fuentes de amenazas modernas y ofrecemos una amplia gama de productos de seguridad para proteger todos los aspectos de la vida digital doméstica y también para empresas, desde teléfonos móviles, pc y mac, hasta seguridad de correo electrónico.

Seguridad de red doméstica de Trend Micro :  proporciona protección contra intrusiones en la red, piratería de enrutadores, amenazas web, descargas de archivos peligrosos y robo de identidad para todos los dispositivos conectados a la red doméstica.

Trend Micro Premium Security Suite :  nuestra nueva oferta premium proporciona todos los productos enumerados a continuación para hasta 10 dispositivos, además de servicios premium de nuestros profesionales altamente capacitados. Incluye soporte técnico las 24 horas, los 7 días de la semana, eliminación de virus y software espía, un control de seguridad de la PC y diagnóstico y reparación remotos. Sin embargo, como siempre, cada solución a continuación se puede comprar por separado, según se adapte a sus necesidades.

Trend Micro Security : protege sus PC y Mac contra amenazas web, phishing, amenazas de redes sociales, robo de datos, amenazas bancarias en línea, skimmers digitales, ransomware y otro malware. También protege contra el exceso de uso compartido en las redes sociales.

Trend Micro Mobile Security : protege contra descargas de aplicaciones maliciosas, ransomware, sitios web peligrosos y redes Wi-Fi inseguras.

Trend Micro Password Manager : proporciona un lugar seguro para almacenar, administrar y actualizar sus contraseñas. Recuerda sus inicios de sesión, lo que le permite crear credenciales largas, seguras y únicas para cada sitio / aplicación en el que necesita iniciar sesión.

Trend Micro WiFi Protection : lo protege en redes WiFi públicas no seguras al proporcionar una red privada virtual (VPN) que cifra su tráfico y garantiza la protección contra ataques de intermediarios (MITM).

Trend Micro ID Security (Android, iOS): supervisa los sitios clandestinos de delitos informáticos para comprobar de forma segura si los piratas informáticos están comerciando con su información personal en la Dark Web y, de ser así, le envía alertas inmediatas para que pueda tomar las medidas necesarias para solucionar el problema.

No olvides seguirnos en Facebook y LinkedIn estamos creando el mejor contenido de ciberseguridad y tecnologías de la información, estamos seguros de que no querrás perdértelo.

#NovaInforma

Publicado en

La mitad de los hospitales de EE. UU. cierran sus redes debido a ataques Ransomware.

ciberseguridad en hospitales

Casi la mitad (48%) de los hospitales de EE. UU. Han desconectado sus redes en estos últimos seis meses debido a ataques de ransomware, según un nuevo estudio de Philips y CyberMDX.

El informe ‘Perspectives in Healthcare Security’ se basa en entrevistas con 130 ejecutivos de hospitales de TI y ciberseguridad e ingenieros y técnicos biomédicos.

Los ataques de ransomware aún siguen generando grandes impactos, a pesar de que las organizaciones de atención médica (HCO) lucharon contra un aumento en los ataques durante los primeros meses de la pandemia.

Los encuestados que admitieron cerrar las redes debido a estos ataques, comentan que lo hicieron de forma proactiva para evitar una infracción dañina y así mismo los que se vieron obligados a hacerlo debido a una infección grave.

Uno de los primeros pasos para mejorar la postura de seguridad es el descubrimiento e inventario completos de activos. Sin embargo, aquí muchas HCO están fallando actualmente.

Casi dos tercios (65%) de los encuestados afirmaron que dependen de métodos manuales para calcular el inventario, y muchos de los de hospitales medianos (15%) y hospitales grandes (13%) admitieron que no tienen forma de determinar el número de dispositivos activos o inactivos en sus redes.

Una de las soluciones para prevenir ataques de Ransomware con las que Ingeniería Aplicada Nova cuenta en su portafolio es Tanium, esta solución ofrece una variedad de módulos para mejorar la seguridad ante ataques, mejorar la visibilidad, control y acelerar la respuesta ante incidentes, a continuación de muestran algunas caracterices que nos apoyan a prevenir ataques de Ransomware:

  • Gestión de activos

Apoya a la administración de activos en la red y así mismo la identificación de equipos aun no registrados.

  • Parcheo

Apoya a su organización a garantizar que sus puntos finales estén parcheados, pudiendo desplegar esto remotamente desde la consola centralizada, lo que reduce la superficie de ataque corporativa. 

  • Gestión de la configuración

Apoya a identificar y remediar configuraciones incorrectas en los recursos compartidos en nuestra red.

  • Limitar el movimiento lateral

Ayuda a las organizaciones a limitar el movimiento lateral en un entorno.  También puede integrarse con dispositivos de red para bloquear estos ataques a través de Cisco ISE o Palo Alto (Ofrecido por NOVA).

  • Limitar / descubrir datos confidenciales

Ayuda a identificar dónde se encuentran información sensible en nuestra red, lo que permite acciones adicionales para reducir la exposición al ransomware.

  • Identificación

Se cuenta con un módulo para la identificación de actividades potenciales de ransomware y alertar a los administradores para que comiencen a actuar.

  • Prevención

Gestión de Applocker, para evitar ejecución de software no autorizado para los puntos finales.

  • Alcance

Si un ransomware 0-day infecta su organización, Tanium apoya a identificar cuántos archivos se han cifrado y limitar cualquier daño adicional a través de sus módulos Tanium Live Response y Tanium Index.

Si deseas conocer más sobre esta solución, puedes consultar informaciones en: Tanium, no olvides seguirnos en nuestras redes sociales Facebook y LinkedIn para revisar más contenido de ciberseguridad.

“Solo existen dos tipos de organizaciones, las que han sido pirateadas y las que serán”

  • Robert Mueller
Publicado en

¿Cómo puedo proteger mi organización ante la nueva ola de ataques de ransomware?

ransomware

En mayo de este año fuimos testigos del ataque de ransomware por parte de una organización criminal llamada DarkSide al operador de oleoductos Colonial Pipeline, lo cual afectó en gran manera a la producción de refinado, ya que se trata de un oleoducto vital en los Estados Unidos. Se tuvieron que detener los envíos para evitar que los piratas informáticos pudieran tener oportunidad de realizar acciones adicionales, como apagar o dañar el sistema en caso de robo de información altamente confidencial de la corporación.

 Amenazas como esta suelen hacernos preguntar cómo podemos defendernos, sobre todo conociendo que este tipo de cibercriminales buscan conseguir un beneficio económico. Las organizaciones deben tener un plan de contingencia y respuesta para los ataques de ransomware. Debemos ser conscientes de los siguientes puntos:

  • TODOS podemos ser blanco de ataques.
  • Los atacantes siempre buscarán acceder a la red por métodos como el phishing, a través de un sistema con vulnerabilidades que se encuentre publicado en internet o un ataque a la cadena de suministro. El concientizar a los usuarios es una buena forma de estar prevenidos.
  • Las credenciales de cuentas administrativas y de aplicaciones serán el objetivo de los cibercriminales. Se debe contar con un buen esquema para la protección de contraseñas y que estas no se encuentren expuestas en medios fácilmente accesibles.
  • Un ataque de ransomware será la última opción de una organización criminal, pues esta herramienta es fácilmente visible y nosotros sabremos que hemos sido comprometidos, lo cual podría resultar contraproducente.

Una de las herramientas más completas en el portafolio de NOVA que nos permite visualizar amenazas en el interior de nuestra organización es Trend Micro Vision One, plataforma multicapa de ciberseguridad que puede ayudar a mejorar la detección y respuesta contra los últimos ataques de seguridad y mejorar su visibilidad. De manera adicional, y para una protección mayor, es posible implementar soluciones como Palo Alto Networks, un poderoso firewall con protección de DNS a profundidad que proporciona protección basada en la nube contra el acceso no autorizado, el mal uso, la extracción y el intercambio de información confidencial. Cuenta también con Enterprise DLP que proporciona un motor único para la detección precisa y la aplicación de políticas coherentes para datos confidenciales en reposo y en movimiento mediante la clasificación de datos basada en el aprendizaje automático, cientos de patrones de datos que utilizan expresiones regulares o palabras clave, y perfiles de datos que utilizan lógica booleana para buscar tipos colectivos. de datos.

Dados los antecedentes expuestos, debemos tener presente que el ransomware es el problema más visible, pero no necesariamente el más peligroso, pues es peor el enemigo al que no es posible ver hasta que nuestra información haya sido expuesta o utilizada de manera perjudicial.

No olvides seguirnos en Facebook y LinkedIn para revisar más contenido de ciberseguridad y tecnologías de la información, estamos seguros de que no querrás perdértelo.

#NovaInforma

Publicado en

El 84% de las organizaciones en Estados Unidos han experimentado amenazas de tipo Phishing y Ransomware.

phishing

Trend Micro, líder mundial en ciberseguridad, ayuda a que el mundo sea seguro para el intercambio de información digital. Impulsada por décadas de experiencia en seguridad, investigación de amenazas globales e innovación continua. Le solicitó a Osterman Research una nueva investigación en la cual se revela que la mitad de las organizaciones estadounidenses no son efectivas para contrarrestar las amenazas de phishing y ransomware.

Estos hallazgos provienen de un estudio de Osterman Research encargado por Trend Micro y compilado a partir de entrevistas con 130 profesionales de la ciberseguridad en medianas y grandes empresas.

El phishing y el ransomware se dieron a conocer como riesgos críticos para la ciberseguridad empresarial desde antes de la pandemia y como muestra el informe realizado Osterman Research, “la llegada del trabajo remoto masivo ha aumentado la presión de estas amenazas”, dijo Joy Clay, vicepresidenta de inteligencia de amenazas de Trend Micro. Hoy en día las organizaciones necesitan defensas de múltiples capas para mitigar estos riesgos. Estos van desde simulaciones de phishing hasta plataformas avanzadas de detección y respuesta a amenazas como Trend Micro Vision One, que alertan a los equipos de seguridad antes de que los atacantes puedan tener un impacto

Las principales conclusiones del informe incluyen:

50% se calificó a sí mismo ineficaz en general en la lucha contra el phishing y ransomware.

El 72% se considera ineficaz para evitar que la infraestructura doméstica sea un conducto para ataques a las redes corporativas.

Solo el 37% creía que eran altamente efectivos al seguir 11 o más de las mejores prácticas destacadas.

El informe dividió aún más el panorama de amenazas en 17 tipos de incidentes de seguridad y encontró que el 84% de los encuestados habían experimentado al menos uno de estos, destacando la prevalencia de phishing y ransomware.

No olvides seguirnos en Facebook y LinkedIn para revisar más contenido de ciberseguridad y tecnologías de la información.

Si deseas saber mas sobre este informa realizado por Trend Micro podrás leerlo en el siguiente Link:

Microsoft Word – Reduce Phishing and Ransomware – Trend Micro.docx

#NovaInforma

Publicado en

La evolución de los ciberdelincuentes ¿Doble extorsión?

ciberseguridad

Las organizaciones de Ransomware siguen evolucionando y ahora existen muchos más peligros de los que podrías imaginar, es por ello que en Nova te presentamos nuestra investigación sobre cómo es que operan y cuáles son los modelos con los que las empresas son afectadas. Además, te decimos cómo puedes prepararte y qué puedes hacer para no ser una víctima más.

Los ataques de Ransomware modernos siguen el mismo modus operandi, cifran la información de las empresas y exigen un pago a cambio de restaurar el acceso, pero la realidad es que no hay ninguna garantía de que los delincuentes cumplan su parte del trato aun pagándoles, por ello se ha vuelto una práctica común mantener respaldos de información que permitan reanudar operaciones en caso de un ataque de este tipo.

No obstante, desde finales del 2019 los delincuentes comenzaron una doble extorsión, amenazan con liberar públicamente los datos de las víctimas. Ya son más de 30 familias de ransomware empleando esta doble extorsión y es que el exponer la información de clientes es un problema importante, sobre todo si hablamos de información financiera o clasificada.

Por si eso fuera poco, las bandas criminales también agregan otras técnicas de extorsión, como lanzar ataques DDoS y/o acosar a los clientes de las víctimas, esto suma mucha presión en las empresas atacadas a las que no les queda más opción que ceder.

Las organizaciones delictivas que operan bajo un esquema de Ransomware as a Service (RaaS) se propagan más rápido, pues utilizan como medio a los afiliados de la víctima, el esquema de extorsión es simple, pero muy efectivo, la información crítica se va liberando en sitios de blogs, si la víctima no paga el rescate, los criminales contactan directamente a los clientes, socios comerciales, medios de comunicación e incluso comienzan subastas en donde le brindan esta información al mejor postor.

Pero ¿cómo es que las bandas criminales acceden a la información en primer lugar?

Lo más común es que usen phishing, ingeniería social u otras técnicas de infiltración que dependen de la activación de un usuario, es por ello que es muy importante mantener una cultura de seguridad sana en las organizaciones en todos los niveles de operación, también pueden infiltrarse explotando vulnerabilidades de sistemas operativos no actualizados o a través de dispositivos con conexión a internet, como cámaras de seguridad, proyectores o impresoras; el ransomware está preparado para evadir defensas o soluciones de seguridad de baja calidad y puede escalar rápidamente sus privilegios para mandar reportes con información crítica antes de cifrar los datos.

Entonces ¿Cómo puedo prevenir un ataque?

Lo cierto es que hoy día las amenazas no son del todo imparables, sobre todo si se mantienen practicas apegadas a los marcos de seguridad recomendados como realizar evaluaciones y entrenamientos de habilidades de seguridad con regularidad, realizar evaluaciones de vulnerabilidad periódicamente, mantener actualizado el software y aplicaciones, así como mantener respaldos y hacer cumplir medidas de recuperación de datos.

En Nova te recomendamos soluciones de seguridad que abarcan múltiples capas del sistema (correo electrónico, web, red, endpoints, etc) no basta con detectar componentes maliciosos, es necesario tomar medidas de seguridad que monitoreen comportamiento sospechoso en la red, por ejemplo Trend Micro Vision One ™  proporciona protección de múltiples capas y detección de comportamiento, detectando comportamientos cuestionables que de otra manera podrían parecer benignos cuando se ven desde una sola capa. Esto permite detectar y bloquear ransomware desde el principio antes de que pueda causar un daño real al sistema.

No olvides seguirnos en Facebook y LinkedIn para revisar más contenido de ciberseguridad y tecnologías de la información, estamos seguros de que no querrás perdértelo.

#NovaInforma