La evolución de los ciberdelincuentes ¿Doble extorsión?

Las organizaciones de Ransomware siguen evolucionando y ahora existen muchos más peligros de los que podrías imaginar, es por ello que en Nova te presentamos nuestra investigación sobre cómo es que operan y cuáles son los modelos con los que las empresas son afectadas. Además, te decimos cómo puedes prepararte y qué puedes hacer para no ser una víctima más.

Los ataques de Ransomware modernos siguen el mismo modus operandi, cifran la información de las empresas y exigen un pago a cambio de restaurar el acceso, pero la realidad es que no hay ninguna garantía de que los delincuentes cumplan su parte del trato aun pagándoles, por ello se ha vuelto una práctica común mantener respaldos de información que permitan reanudar operaciones en caso de un ataque de este tipo.

No obstante, desde finales del 2019 los delincuentes comenzaron una doble extorsión, amenazan con liberar públicamente los datos de las víctimas. Ya son más de 30 familias de ransomware empleando esta doble extorsión y es que el exponer la información de clientes es un problema importante, sobre todo si hablamos de información financiera o clasificada.

Por si eso fuera poco, las bandas criminales también agregan otras técnicas de extorsión, como lanzar ataques DDoS y/o acosar a los clientes de las víctimas, esto suma mucha presión en las empresas atacadas a las que no les queda más opción que ceder.

Las organizaciones delictivas que operan bajo un esquema de Ransomware as a Service (RaaS) se propagan más rápido, pues utilizan como medio a los afiliados de la víctima, el esquema de extorsión es simple, pero muy efectivo, la información crítica se va liberando en sitios de blogs, si la víctima no paga el rescate, los criminales contactan directamente a los clientes, socios comerciales, medios de comunicación e incluso comienzan subastas en donde le brindan esta información al mejor postor.

Pero ¿cómo es que las bandas criminales acceden a la información en primer lugar?

Lo más común es que usen phishing, ingeniería social u otras técnicas de infiltración que dependen de la activación de un usuario, es por ello que es muy importante mantener una cultura de seguridad sana en las organizaciones en todos los niveles de operación, también pueden infiltrarse explotando vulnerabilidades de sistemas operativos no actualizados o a través de dispositivos con conexión a internet, como cámaras de seguridad, proyectores o impresoras; el ransomware está preparado para evadir defensas o soluciones de seguridad de baja calidad y puede escalar rápidamente sus privilegios para mandar reportes con información crítica antes de cifrar los datos.

Entonces ¿Cómo puedo prevenir un ataque?

Lo cierto es que hoy día las amenazas no son del todo imparables, sobre todo si se mantienen practicas apegadas a los marcos de seguridad recomendados como realizar evaluaciones y entrenamientos de habilidades de seguridad con regularidad, realizar evaluaciones de vulnerabilidad periódicamente, mantener actualizado el software y aplicaciones, así como mantener respaldos y hacer cumplir medidas de recuperación de datos.

En Nova te recomendamos soluciones de seguridad que abarcan múltiples capas del sistema (correo electrónico, web, red, endpoints, etc) no basta con detectar componentes maliciosos, es necesario tomar medidas de seguridad que monitoreen comportamiento sospechoso en la red, por ejemplo Trend Micro Vision One ™ proporciona protección de múltiples capas y detección de comportamiento, detectando comportamientos cuestionables que de otra manera podrían parecer benignos cuando se ven desde una sola capa. Esto permite detectar y bloquear ransomware desde el principio antes de que pueda causar un daño real al sistema.

No olvides seguirnos en Facebook y LinkedIn para revisar más contenido de ciberseguridad y tecnologías de la información, estamos seguros de que no querrás perdértelo.

#NovaInforma

8 febrero, 20218 febrero, 2021

¿Por qué son preocupantes los ciberataques a las cadenas de suministro de tecnología?

Con un ciberataque a la cadena de suministro podemos comprometer la seguridad del cliente final haciendo que use un producto o servicio con vulnerabilidades…

Estos dos últimos años casi todos los usuarios nos hemos acostumbrado al término ransomware en el campo de la seguridad informática. Gracias a ataques como Wannacry…

Ataques a la cadena de suministro
¿Sabemos quién ha diseñado, fabricado, ensamblado, etc. cada pieza de nuestro portátil? ¿De nuestro teléfono móvil? ¿De nuestro coche conectado? ¿Del programa que utilizamos para teletrabajar? Normalmente conocemos sólo la marca, pero no todos los terceros o partes que han hecho falta para que podamos usar esa tecnología.

Toda esta red de compañías necesarias para que podamos utilizar un hardware o software es lo que conocemos como cadena de suministro. Estas cadenas se basan en las relaciones comerciales entre los diferentes elementos que las componen, cada uno tiene su modelo de negocio y hace dinero con una actividad diferente.

Pero ¿Qué ocurre si uno de los elementos de la cadena es malicioso, es decir, se comporta de manera ilícita? Puede serlo desde el principio o haber sido comprometido por un atacante externo sin saberlo.

Con un ciberataque a la cadena de suministro podemos comprometer la seguridad del cliente final haciendo que use un producto o servicio con vulnerabilidades que están provocadas, con toda la intención, por uno de los elementos de dicha cadena.

Recomendación: Para proteger las empresas contra este tipo amenazas se recomienda tener herramientas de monitoreo continuo de la red y detección de brechas de seguridad como Trend Micro Deep Discovery Inspector.

Consulta el artículo aquí

17 junio, 20208 febrero, 2021

Lemon Duck Cryptominer se extiende a través de correos electrónicos temáticos Covid-19

Los autores de malware continúan aprovechando la pandemia de coronavirus para propagar amenazas. En una campaña relacionada reciente, nos encontramos con un script de PowerShell (script de correo) que distribuye el criptominer Lemon Duck a través de un nuevo método de propagación: correos electrónicos con el tema Covid-19 con archivos adjuntos armados. Estos correos electrónicos se entregan a todos los contactos de Microsoft Outlook del usuario de una máquina comprometida, tal como lo observa SANS Internet Storm Center.

Recomendación:
Dado que el correo electrónico es la mejor opción del atacante para ransomware y ataques dirigidos, necesita la mejor seguridad de correo electrónico disponible para proteger su organización. Trend Micro utiliza la seguridad XGen™, la combinación más avanzada de técnicas de defensa contra amenazas intergeneracionales, con métodos probados para encontrar más correos electrónicos de phishing y malware. Nuestras soluciones de correo electrónico funcionan con Trend Micro Apex Central™ para la administración central y el intercambio de amenazas con otras capas de seguridad para mejorar su visibilidad y protección general.

27 enero, 20208 febrero, 2021

Un grupo de supuestos “hackers” roba los datos de 15 millones de usuarios a un laboratorio para posteriormente vendérselos

El pasado 1 de noviembre, LifeLabs, la compañía más grande de pruebas de laboratorio especializadas de Canadá, notificó a las autoridades que estaban recibiendo amenazas y extorsiones tras un ciberataque que había provocado el robo de los datos de 15 millones de sus usuarios.

De acuerdo a la información publicada, se trataba de un ransomware donde los ‘hackers’ solicitaban una cifra de dinero no especificada, esto para liberar los datos personales de los pacientes del laboratorio y no hacerlos públicos.

Por otro lado, la compañía abrió una investigación donde sus primeros datos afirman que el robo no habría sido tan grande como pensaban. LifeLabs asegura que los cibercriminales sólo accedieron a los datos de “unos 85.000 clientes”, y en muchos casos se trataba de datos de 2016 y de años anteriores.