logo nova
Search
logo nova

Etiqueta: trend micro

Publicado en

Protegiendo los Endpoints: XDR Prioridad en la Seguridad Empresarial

XDR Trend Micro

En un mundo donde las amenazas cibernéticas son cada vez más sofisticadas y abundantes, asegurar los endpoints, desde computadoras hasta servidores y dispositivos móviles, es vital para la continuidad de las operaciones empresariales. ¿Cómo hacerlo con soluciones XDR?

La seguridad informática nunca ha sido tan crucial para empresas y organizaciones, independientemente de su tamaño o sector. Las amenazas cibernéticas evolucionan constantemente, volviéndose más peligrosas con el tiempo. Es en este contexto que la protección de los endpoints se vuelve esencial para prevenir ataques y garantizar la continuidad de las operaciones organizacionales.

Los endpoints representan el perímetro más expuesto en las empresas, siendo a menudo el objetivo principal de los ataques o el vector de infección. Es crucial protegerlos mediante la implementación de soluciones de Cross Detection and Response (XDR, por sus siglas en inglés).

La administración y operación de estas soluciones requieren un alto nivel de experiencia para garantizar una detección óptima y una respuesta eficaz ante incidentes.

La Importancia de la experiencia en seguridad:

Aunque la seguridad informática se ha vuelto un tema crítico, muchas empresas aún no le otorgan la prioridad necesaria debido a las exigencias de mantener la producción en marcha. Los presupuestos asignados a los equipos de Seguridad de la Información (SSI) a menudo son insuficientes para cubrir todas las tareas necesarias, lo que resulta en deficiencias en la gestión de herramientas de seguridad.

Para mitigar este riesgo, muchas empresas recurren a servicios gestionados, especialmente para soluciones XDR. La externalización de la gestión y las alertas permite a los equipos de SSI delegar acciones a equipos especializados, garantizando así una configuración y mantenimiento óptimos de las herramientas de seguridad.

La Evolución de las Amenazas:

En un entorno digital en constante cambio, es crucial mantenerse alerta. Sin embargo, las organizaciones a menudo carecen de tiempo y experiencia para realizar una vigilancia constante, lo que puede llevar a estar desbordadas por las nuevas amenazas que surgen a diario.

Las soluciones XDR son un primer paso importante para las empresas en la lucha contra las amenazas actuales. Sin embargo, la personalización y configuración adecuadas de estas soluciones son fundamentales para detectar las últimas amenazas de manera efectiva.

Recomendación: Trend Micro XDR

Para una protección integral de los endpoints y una gestión centralizada de la detección y respuesta ante amenazas (XDR), Trend Micro cuenta con diversas soluciones para proteger dispositivos telefónicos, endpoints y hasta servidores y cuestiones de proteccion en nube. Además, la gestión centralizada XDR de Trend Micro, llamada Vision One, proporciona una visibilidad completa y una respuesta rápida ante incidentes, lo que ayuda a las organizaciones a enfrentar los desafíos cambiantes del panorama de ciberseguridad. Además, en NOVA podemos ayudar con los servicios gestionados para administrar sus herramientas, nuestro equipo de ciberseguridad tienen el conocimiento necesario para enfrentar una amplia gama de ataques y están actualizados sobre las últimas tendencias y técnicas utilizadas por los ciberdelincuentes, adoptamos un enfoque proactivo para la gestión de riesgos, identificando y abordando posibles vulnerabilidades en tiempo real antes de que se conviertan en brechas de seguridad. Esto ayuda a prevenir ataques y minimizar el impacto en caso de incidentes.

En conclusión XDR robustece nuestra estrategia de ciberseguridad

En conclusión, el despliegue de soluciones XDR gestionadas en todos los endpoints representa un valor agregado significativo en términos de ciberseguridad en el panorama actual. La visibilidad total, la respuesta rápida a incidentes y la reducción de costos operativos hacen de esta implementación una necesidad en la protección de activos empresariales contra las amenazas cibernéticas en constante evolución.

Síguenos en nuestras redes Instagram,  Facebook y LinkedIn, donde puedes encontrar más noticias y conocer las soluciones en ciberseguridad que ofrecemos.

#NovaInforma

Publicado en

Trend Micro, reconocido como líder en seguridad Endpoint por Gartner

Trend Micro reconocido por Gartner

En Nova, felicitamos a nuestro socio estratégico de Trend Micro por su reciente reconocimiento como Líder en el Cuadrante Mágico de Gartner para Plataformas de Protección de Endpoints (EPP)

Este reconocimiento, otorgado por una consultora tan prestigiosa como Gartner, es un reflejo del esfuerzo continuo y la innovación que Trend Micro ha demostrado en el ámbito de la seguridad cibernética.

Como bien sabemos, los endpoints son los dispositivos más vulnerables a los ataques cibernéticos en una organización. Por eso, es fundamental contar con una solución seguridad para endpoints eficaz que pueda protegerlos contra una amplia gama de amenazas.

En este sentido, Vision One™, la plataforma de seguridad para endpoints, ofrece una solución integral que cubre todas las necesidades de las organizaciones.

Entre las principales características de Trend Vision One™ se incluyen:

  • Protección contra una amplia gama de amenazas, incluyendo malware, ransomware, phishing, etc.
  • Inteligencia de amenazas
  • Ofrece herramientas que ayudan a los equipos de seguridad a automatizar tareas repetitivas y orquestar respuestas a las amenazas.
  • Integración con otras soluciones de seguridad, como SIEM, XDR, etc.
  • Gestión de los endpoints y visibilidad centralizada.

En Nova hemos experimentado de primera mano las ventajas de Vision One™. Que permite:

  1. Reducir la superficie de ataque, gracias a las funciones de gestión de la configuración de seguridad y la detección y respuesta integradas ante amenazas (ITDR).
  2. Mejorar la eficiencia de las operaciones de seguridad, gracias a la gestión centralizada de los endpoints.
  3. Seguridad de la nube para las aplicaciones y los datos en la nube.
  4. Seguridad para los dispositivos IoT.
  5. Trend Micro Vision One proporciona protección para la infraestructura crítica, como las redes de control industrial (ICS).
  6. Proporciona protección para la identidad y la autenticación.
  7. Seguridad para los dispositivos móviles.

En definitiva, este reconocimiento de Gartner a Trend Micro es una excelente noticia para la industria de la ciberseguridad. Demuestra la importancia de las soluciones de seguridad para endpoints eficaces y pone de relieve el papel fundamental con el que Trend Micro está innovando en este campo.

Trend Micro forma parte del portafolio de soluciones de Nova, Para mantenerte informado y protegido, síguenos en nuestras redes Instagram,  Facebook y LinkedIn, donde puedes encontrar más noticias y conocer las soluciones en ciberseguridad que ofrecemos.

¡Enhorabuena, Trend Micro!  

#NovaInforma

Publicado en

DarkGate: El malware que se infiltra a través de tus mensajes

malware trend micro

En Nova estamos en constante investigación para traerte las amenazas más relevantes para que estés preparado en todos los escenarios posibles. ¿Alguna vez has recibido un archivo PDF de un amigo por Skype o Teams? Seguro pensaste que es inofensivo, la realidad es que podría ser un verdadero problema.

Recientemente, ha surgido una amenaza que está afectando a usuarios de servicios de mensajería instantánea como Skype y Microsoft Teams. Un malware, denominado DarkGate, se está propagando al hacerse pasar por archivos PDF.

Este proceso funciona de la siguiente manera: las plataformas de mensajería son utilizadas para entregar un script de Visual Basic para Aplicaciones (VBA) camuflado como un documento PDF. Cuando un usuario desprevenido abre dicho “documento”, se inicia la descarga y ejecución de un script AutoIt que desencadena el malware.

Aunque aún no se ha identificado el método exacto por el cual las cuentas originales de mensajería instantánea se comprometen, Trend Micro, en un reciente análisis, sugiere que podría deberse a credenciales filtradas o al compromiso previo de la organización principal.

DarkGate, identificado en 2018, es una amenaza multifacética. Posee capacidades para extraer datos confidenciales, minar criptomonedas y permitir a los ciberdelincuentes controlar sistemas infectados. Además, puede actuar como un medio para descargar otros malwares, amplificando así su peligro.

Lo alarmante es el incremento observado en campañas que distribuyen este malware, utilizando técnicas como correos electrónicos de phishing y tácticas de optimización de motores de búsqueda. Tras años de uso privado, el autor de DarkGate decidió ofrecerlo en foros clandestinos, lo que puede explicar este aumento en su actividad.

De acuerdo con Trend Micro, la mayoría de los ataques se han registrado en América, pero Asia, Oriente Medio y África no están exentos.

El riesgo principal radica en la confianza que los usuarios depositan en las aplicaciones de mensajería y en los contactos con los que se comunican. El simple acto de abrir un archivo puede desencadenar una infección por lo que una de las claves está en la educación del usuario.

También es recomendable mantener una estrategia de ciberseguridad robusta: Se deben implementar soluciones que controlen y restrinjan las aplicaciones y archivos accesibles a los usuarios. Una lista de aplicaciones permitidas puede ser esencial para limitar el acceso solo a aplicaciones seguras y verificadas.

Para lograr esto podemos apoyarnos de algunas soluciones de Trend Micro que demuestra una protección excepcional contra ataques, las soluciones que te recomendamos son:       

Trend Micro Managed XDR que brinda monitoreo constante, defensa y detección en tiempo real. Además, incluido en Trend Service One™, garantiza una respuesta rápida ante cualquier amenaza y Trend Vision One™ que permite detectar y responder a amenazas en tiempo real. Además, es especialmente eficaz al aislar puntos finales, que suelen ser el punto de entrada para muchos malwares, garantizando que el sistema se mantenga limpio y seguro.

Es esencial recordar que la ciberseguridad no es una solución única para todos. Requiere un enfoque multifacético y la integración de varias herramientas y prácticas. Con las soluciones de Trend Micro, las organizaciones pueden dar un paso adelante para protegerse de amenazas como DarkGate y garantizar un entorno digital seguro y confiable.

¿Encontró interesante este artículo? Para mantenerte informado y protegido, síguenos en nuestras redes Instagram,  Facebook y LinkedIn  , donde puedes encontrar más noticias y conocer las soluciones en ciberseguridad que ofrecemos.

Publicado en

Un nuevo malware en el lenguaje “Rust” utiliza vulnerabilidades críticas en Redis para propagarse.

ciberseguridad

Echemos un vistazo a un reciente descubrimiento que ha llamado la atención en el mundo de la ciberseguridad. Se trata de el malware “Rust” que ha estado utilizando las vulnerabilidades críticas en los servidores Redis para propagarse. El nombre de este nuevo intruso es “P2PInfect”, y su método de ataque es dirigirse a los servidores Redis en la nube, explotando cualquier debilidad que encuentre.

Lo que hace que este malware sea particularmente intrigante es su elección del lenguaje de programación “Rust”. Esto lo convierte en una amenaza más sofisticada y potente en comparación con otros malwares. Los expertos han notado que “P2PInfect” tiene un enfoque tanto en servidores que ejecutan Redis tanto Linux como en Windows, lo que lo hace un poco más intimidante que los gusanos habituales.

La magnitud de esta amenaza es notoria, se estima que más de 900 sistemas Redis podrían estar en riesgo. El primer caso documentado de infección por “P2PInfect” se registró en la fecha fatídica del 11 de julio de 2023.

Caracteristicas

Un aspecto crucial de este malware es su habilidad para aprovechar una vulnerabilidad conocida como “Lua Sandbox Escape”. Siendo una debilidad crítica (CVE-2022-0543) con una puntuación CVSS de 10.0, ha sido un vehículo para varios programas maliciosos en el último año. Nombres como “Muhstik”, “Redigo” y “HeadCrab” han aprovechado esta brecha en la seguridad.

Una vez dentro, el malware despliega una carga útil que establece una conexión punto a punto (P2P) en una red más grande. Este paso le permite distribuir binarios maliciosos adicionales y desplegar un software de escaneo para propagar aún más el malware en otros sistemas Redis y en aquellos servidores expuestos a SSH.

Como si eso no fuera suficiente, el malware también se vale de un script de PowerShell para mantener una comunicación persistente entre el host comprometido y la red P2P, otorgando a los atacantes un acceso continuo. En la versión de Windows de “P2PInfect”, se añade un componente de Monitor, que se encarga de las actualizaciones automáticas y de lanzar nuevas versiones del malware.

A pesar de todo este revuelo, el propósito final de esta campaña de malware aún está en las sombras. Los investigadores no han encontrado pruebas sólidas de minería de criptomonedas, a pesar de la presencia de la palabra “minero” en el código fuente del kit de herramientas.

Lo que resulta desconcertante es que, hasta ahora, no se ha vinculado esta actividad a ninguno de los grupos de ataque avanzado ampliamente conocidos por asaltar entornos en la nube. En medio de esta incertidumbre, la tendencia es clara: los ciberdelincuentes se están volcando cada vez más hacia la exploración minuciosa de internet para encontrar entornos de nube que presenten vulnerabilidades.

Recomendación

En este sentido, implementar medidas de seguridad en la nube se convierte en una necesidad imperante. Trend Micro Network Security emerge como una solución robusta y transparente para detectar amenazas y asegurar entornos de una o varias nubes. Esta solución, parte del portafolio de NOVA, cubre todas las etapas del ciclo de vida del ataque, empleando inteligencia de amenazas avanzada y análisis de protocolos, junto con la detección de anomalías y métodos basados en firmas.

Si se busca un resguardo empresarial integral, Trend Micro ofrece seguridad a nivel enterprise para la capa de red, brindando protección a las nubes privadas virtuales (VPC) y asegurando la infraestructura y los segmentos de red sin interrupciones en las operaciones.

Para mantenerte informado y protegido, síguenos en nuestras redes InstagramFacebook y LinkedIn , donde puedes encontrar más noticias y conocer las soluciones en ciberseguridad que ofrecen.

#NovaRecomienda

Publicado en

El sector Industrial es el más atacado por Ransomware

El sector más atacado por ransomware

De acuerdo al reporte mensual “Cyber Threat Intelligence Report” que genera NCC Group, en el mes de abril han detectado 352 ataques exitosos de Ransomware. Continuamente están rastreando grupos de Ransomware que usan la táctica de doble extorsión, hackear y filtrar información de empresas. Registran los datos y clasifican a las víctimas de acuerdo al sector de estas, con la finalidad de detectar que sector es el más atacado por ransoware y realizar comparativas con meses pasados.

El mes de marzo se registraron 459 ataques exitosos de Ransomware, en el mes de abril ha disminuido a 352, en el periodo de febrero a marzo hubo un incremento del 91%, esto debido a que en ese periodo se hizo pública la Vulnerabilidad GoAnywhere MFT y PaperCut, con dicha vulnerabilidad se podía ejecutar código de forma remota a servidores, lo cual permitió que grupos de hackers explotaran servidores y comprometieran infraestructura, en el mes de abril han disminuido los ataques ya que las empresas realizaron el parchado de esta vulnerabilidad.

De estos primero 4 meses del 2023 se ha visto una tendencia mas alta de ataques exitosos de este tipo, a diferencia de lo que se registró en el 2022. Aunque los resultados de este mes han disminuido, el número de víctimas es el segundo más alto registrado en la base de datos de NCC Group (a partir de 2021). Esto es el resultado de que tanto BianLian como BlackCat registraron su recuento de víctimas más alto en un mes determinado desde el inicio del seguimiento de ransomware de NCC Group en 2021. Además, el recuento de víctimas de Lockbit 3.0 es el segundo más alto registrado por el grupo, en parte debido a su explotación de la vulnerabilidad crítica de PaperCut en la segunda mitad de este mes.

Figure 1 – Global Ransomware Attacks by Month 2022 – 2023

De acuerdo al reporte, el sector Industrial ha sido el que más ataques exitosos ha tenido, con un total de 113 ataques el mes de abril 147 en el mes de marzo, de acuerdo al histórico que lleva NCC Group el sector Industrial es el más atacado por grupos de Ransomware teniendo una media del 32% en cada uno de los meses, esto debido a que es el sector más grande y asi mismo es el que cuenta con más información sensible como; la información de identificación personal (PII) y la propiedad intelectual (IP), lo cual es el objetico más lucrativo para los atacantes.

Figure 2 – Top 10 Targeted Sectors April 2023

Lockbit 3.0, BlackCat y BianLian son los grupos de Ransomware más activos actualmente, siendo los principales desde inicios del año, en el mes de abril representaron el 58% de los ataques exitosos, sumando 203 de los 352 registrados.

A modo de comparación, su actividad en febrero fue la siguiente: Lockbit 3.0 registró 129 casos, seguido de BlackCat con 31 casos y finalmente BianLian con 20 casos que representan 180 (75%) de 240 casos ese mes. Curiosamente, en abril, BlackCat y BianLian aumentaron significativamente su actividad con respecto a la producción de febrero (un 38 % y un 56 % respectivamente), mientras que la de Lockbit ha fluctuado hacia arriba y hacia abajo desde principios de año.

Figure 3 – Top 10 Threat Actors April 2023

NCC Groups ha recomendado que las organizaciones internas deben continuar reforzando la seguridad cibernética e higiene de seguridad contra Ransomware, ya que este tipo de ataques no ha reducido, al contrario, cada vez va en crecimiento, no solo en cuestión de ataques, también en el nacimiento de nuevas familias de Ransomware, en años anteriores se hablaba mucho de WannaCry, la cual ya ha sido desplazada por estas nuevas familias. ¿Entonces como podemos proteger nuestra infraestructura de nuevas vulnerabilidades y nuevas familias de Ransonware? En el catálogo de NOVA contamos con soluciones como las que maneja Trend Micro, que van más allá de lo convencional, no solo detectar amenazas mediante patrones o firmas, si no que involucra tecnologías de heurística como Machine Learning, Behavior monitoring, Sandboxes, Virtual Patching, etc.

Machine Learning y Behavior Monitoring nos ayuda a detectar mediante heurística nuevas familias de Ransomware, mutaciones o variantes de Ransomware, o enviar muestras de objetos sospechoso a Sandboxes para la ejecución de estos y análisis en un ambiente controlado y determinar la veracidad de esos objetos. Asi mismo con Virtual Patching (Intrusion Detection) podemos parchar de forma virtual vulnerabilidades que residan en los equipos, esto de una forma temprana, incluso con más antelación que la liberación de un parche físico de los fabricantes del software vulnerable.

Cloud One Endpoint and Workload Security with XDR cuentan con estas características, los cuales le ayudaran a proteger las capas de sus Servidores y Endpoints, Cloud App Security (CAS) y Trend Micro Email Security (TMES) son soluciones que de igual forma cuentan con estas estas características (a excepción de Behavior Monitoring) que lo ayudaran a proteger su capa de correo ante estas amenazas.

Consulta más aquí:

Te invitamos a seguir las redes sociales de Nova InstagramFacebook y LinkedIn para que estes enterado de ésta y más noticias y poder ayudarte a estar protegido a través del amplio portafolio de soluciones en Ciberseguridad con el que contamos.

Publicado en

El tamaño importa: desentrañando la estructura de las organizaciones modernas de ciberdelincuencia.

ciberdelincuencia

De acuerdo con la actividad de seguimiento de Trend Micro, exploraron tres grupos criminales de diferentes tamaños para determinar cómo se comparan con negocios legítimos de tamaño similar en términos de cómo están organizados. También se discutieron las ventajas de conocer el tamaño objetivo de una organización de ciberdelincuencia para los investigadores de delitos cibernéticos.

El panorama de las amenazas cibernéticas en las últimas dos décadas ha evolucionado claramente: desde una era de ataques cibernéticos impulsados ​​principalmente por investigaciones ofensivas con cargas destructivas, el espacio del crimen cibernético se ha convertido en un terreno fértil para los actores malintencionados que se han organizado en grupos para buscar ganancias financieras colectivamente.

Apostar por un reclamo decisivo en un mercado enormemente lucrativo ha motivado a una nueva generación de ciberdelincuentes a adaptarse y organizarse de maneras que tienen un parecido sorprendente con las corporaciones legítimas. La investigación revela que a medida que aumentan la membresía y los ingresos de los grupos de delitos cibernéticos, se crean capas de jerarquía en el proceso, lo que hace que su estructura organizativa sea más compleja.

Eso viene a resultar en un par de pregunta importantes dentro de este estudio que realiza Trend Micro y son las siguientes:

El tamaño importa: ¿Existen las sociedades de ciberdelincuencia? ¿Por qué es importante?

Las organizaciones delictivas, como cualquier otro grupo humano, tienden a hacerse más complejas a medida que crecen. Esta complejidad se manifiesta a medida que un grupo forma grupos similares a departamentos, con directivos al mando que dependen de otros situados más arriba en la jerarquía. Esto ya lo sabemos por las empresas y sus subdivisiones departamentales:

  • Los grupos de ciberdelincuentes suelen organizarse como empresas. Las estructuras más complejas evolucionan a medida que un grupo aumenta sus ingresos y su número de miembros.
  • Los grandes grupos delictivos son muy complejos en su forma de organizarse, pero no hay muchos. La mayor parte del panorama está formada por equipos muy pequeños de delincuentes que obtienen ingresos moderados. Estos pequeños grupos se componen de unos pocos miembros que operan bajo un modelo de asociación.
  • Los grupos delictivos más grandes tienen departamentos similares a los de las empresas, como los de recursos humanos (RRHH) y tecnología de la información (TI), entre otros. Incluso pueden tener programas para empleados, como el reconocimiento de un empleado ejemplar del mes y evaluaciones de rendimiento.
  • Las grandes organizaciones delictivas se distinguen no sólo por su tamaño, sino también porque suelen ser más difíciles de gestionar, se enfrentan a más problemas políticos y tienen que lidiar con más delincuentes de bajo rendimiento. Tienen que lidiar con más problemas de confianza, además de gestionar los gastos generales derivados del tamaño de sus operaciones. Crecer sin abordar estas cuestiones afecta negativamente a una organización delictiva a largo plazo.

Los grupos delictivos pequeños suelen estar formados por un jefe de equipo, un codificador, un responsable de apoyo y un administrador de red. Con una plantilla tan reducida, cada uno suele desempeñar múltiples funciones además de las responsabilidades habituales, como la publicidad, la contratación y el manejo del dinero.

Ejemplos

Un ejemplo de pequeña empresa de éxito es Yalishanda. Se trata de uno de los proveedores de servicios de alojamiento a prueba de balas más populares en la comunidad clandestina, según un análisis de Brian Krebs, y se cree que está dirigido por sólo dos personas.

Las empresas delictivas medianas tienen una estructura más jerárquica, como las que suelen encontrarse en las empresas legales. Suelen tener un organigrama piramidal que describe la autoridad dentro de la organización, con una persona en la cima que está al mando de toda la empresa.

Un ejemplo de empresa criminal mediana es el grupo GozNym. En mayo de 2019, 10 personas fueron acusadas de este grupo. Según el escrito de acusación, el equipo estaba formado por un líder, un desarrollador, criptógrafos, un especialista en la toma de control de cuentas, un cajero, un administrador técnico, un asistente principal, un “cobrador” o “drop master”, un administrador de un servicio de alojamiento a prueba de balas y spammers4.

Las grandes empresas delictivas tienen estructuras muy jerarquizadas, seguidas de un número cada vez mayor de mandos inferiores y supervisores. La organizaciones delictivas grandes están mucho más estructuradas que las medianas. Las grandes empresas exitosas demuestran asociaciones efectivas con otros, exhiben liderazgo e implementan seguridad operativa (OPSEC). Las grandes organizaciones delictivas son más capaces de competir con otros actores de la ciberdelincuencia que las pequeñas empresas y pueden operar una o más instalaciones físicas. También suelen contratar a más empleados y generar ingresos considerables.

Tambien

Como uno de los grupos de ransomware más prolíficos y notorios de la historia reciente responsable de muchos ataques de alto perfil, elegimos a Conti para examinar el funcionamiento interno de una gran empresa criminal. Conti es un destacado proveedor de ransomware-as-a-service (RaaS) ampliamente considerado como el sucesor del ransomware Ryuk. Los operadores de Conti se han ganado la infamia por su hábil uso de las técnicas de doble extorsión y se sabe que venden accesos a organizaciones de víctimas que se negaron a negociar, además de publicar datos robados.

Independientemente del tamaño, las organizaciones son vulnerables a los ataques de malware modernos, considerados como una de las amenazas importantes para la salud empresarial ahora y en el futuro previsible. Los actores maliciosos tienen todos los motivos para actualizar constantemente su arsenal de malware, idear esquemas más sigilosos para superar a la competencia y obtener una mayor parte de la recompensa. Por lo tanto, es clave una mentalidad proactiva para mitigar los riesgos de los ataques de malware. Recomendamos adoptar las siguientes soluciones de ciberseguridad:

Recomendación

Trend Micro Email Security y Vision One incluida dentro del portafolio de soluciones de seguridad de Nova, son soluciones que nos ayudan a gestionar la ciberprotección en un panorama de amenazas que evolucionan continuamente y nos pueden ayudar a tener una protección todo en uno automatizada y detallada, dentro de la cual Trend Micro Email Security™ ofrece protección continuamente actualizada contra BEC, ransomware, spam y ataques dirigidos avanzados y Trend Micro Vision One™ ofrece una perspectiva más amplia y un mejor contexto para detectar amenazas con las capacidades de XDR líderes de la industria.

Con Trend Micro Email Security, los administradores de correo configuran políticas para gestionar los mensajes de correo electrónico en función de las amenazas detectadas. Por ejemplo, los administradores pueden eliminar el malware detectado de los mensajes entrantes antes de que lleguen a la red corporativa o poner en cuarentena el spam detectado y otros mensajes inapropiados.

Además, Trend Micro Email Security ofrece Email Continuity contra eventos de tiempo de inactividad planificados o no planificados, lo que permite a los usuarios finales continuar enviando y recibiendo mensajes de correo electrónico en caso de una interrupción.

Dentro de las características principales que nos puede ofrecer se encuentran las siguientes:

  • Protección por capas: Proporciona una protección completa contra el phishing, el spam y el graymail con múltiples técnicas, como el análisis del remitente, del contenido y de las imágenes, el aprendizaje automático, etc.
  • Protección contra el fraude por correo electrónico: Protege contra las estafas BEC con aprendizaje automático mejorado y reglas expertas para analizar tanto el encabezado como el contenido del correo electrónico. Incluye Trend Micro™ Writing Style DNA como capa adicional para llevar a cabo el análisis de autoría para la protección BEC. (Se requiere una licencia de Trend Micro™ Cloud App Security para Writing Style DNA)
  • Protección contra exploits de documentos: Detecta el malware avanzado y los exploits en PDF, Microsoft Office y otros documentos mediante una lógica estática y heurística para detectar y examinar las anomalías.
  • Protección avanzada contra amenazas: Descubre el malware desconocido mediante múltiples técnicas sin patrones, incluido el aprendizaje automático previo a la ejecución y la tecnología de sandbox de primera categoría de Trend Micro™ Deep Discovery™ para el análisis dinámico de archivos adjuntos potencialmente maliciosos o URLs incrustadas en un entorno virtual seguro.
  • Extracción de contraseñas de archivos: Extrae o abre heurísticamente archivos protegidos por contraseña aprovechando una combinación de contraseñas definidas por el usuario y el contenido de los mensajes.
  • Tiempo de clic en la URL: Bloquea los correos electrónicos con URLs maliciosas antes de su entrega y vuelve a comprobar la seguridad de la URL cuando el usuario hace clic en ella.
  • Verificación y autenticación de la fuente: Incluye Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM), Domain-based Message Authentication, Reporting, and Conformance (DMARC).

De igual forma aproveche las técnicas de detección avanzadas para detectar y responder proactivamente ante las amenazas antes de que realicen cualquier daño. Gracias a Trend Micro Vision One™, obtiene capacidades XDR con funcionalidad completa para profundizar en las capacidades de detección, investigación y respuesta, para que pueda ampliarlas en múltiples capas de seguridad para una mayor visibilidad y respuesta ante amenazas que impactan en toda la organización.

Síguenos en nuestras redes sociales  Nova InstagramFacebook y LinkedIn para más contenido de cibersguridad.

Publicado en

Cómo proteger a tu empresa de NAPLISTENER y otros ataques de ciberseguridad

naplistener

Las empresas deben estar alerta a las nuevas amenazas como NAPLISTENER que surgen cada día en el mundo digital. Hoy en día, los ciberdelincuentes se han vuelto más sofisticados en sus ataques y están utilizando nuevas herramientas, tácticas para infiltrarse en las redes empresariales y robar información confidencial. En este sentido, el reciente informe sobre el grupo de actividad de amenazas REF2924 es preocupante.

Este grupo, que ha sido conocido por atacar a países como Afganistán y miembros de ASEAN, ha sido observado desviando sus motivos del espionaje de datos a la persistencia de acceso dentro de las redes objetivo. Para lograr esto, han añadido una nueva herramienta a su arsenal llamada NAPLISTENER.

Según los investigadores de Elastic Security Labs, REF2924 está utilizando NAPLISTENER para atacar entidades en el sur y sudeste de Asia. NAPLISTENER es una amenaza tipo back door que finge ser el legítimo “Microsoft Distributed Transaction Coordinator” para evadir la detección y establecer la persistencia. Crea un “Listener” de solicitud HTTP para aceptar y procesar las solicitudes entrantes, y filtra los comandos de malware para que puedan mezclarse con el tráfico web legítimo. Además, lee los datos presentados, los decodifica y los ejecuta en memoria.

Es importante destacar que, según el análisis del código fuente de NAPLISTENER, el grupo ha tomado prestado el código del proyecto de GitHub de código abierto SharpMemshell. Además de NAPLISTENER, REF2924 ha estado utilizando varias herramientas adicionales durante sus recientes campañas. Estos incluyen SIESTAGRAPH, DOORME y ShadowPad, que se enfocan en el despliegue de varias puertas traseras en los servidores Microsoft Exchange expuestos a Internet.

Ante esta situación, es recomendable que las empresas adopten medidas preventivas adecuadas para proteger sus redes. La solución EDR de Trend Micro es una opción eficaz para detectar y responder a las amenazas de forma proactiva en los puntos finales. Esta solución monitorea el comportamiento de los archivos en tiempo real y utiliza inteligencia artificial para identificar patrones de comportamiento malicioso y prevenir ataques antes de que ocurran.

La amenaza de REF2924 es una señal de alarma para las empresas en todo el mundo. Es fundamental estar al tanto de las últimas tácticas y herramientas utilizadas por los ciberdelincuentes y tomar medidas preventivas adecuadas para proteger las redes empresariales. La solución EDR de Trend Micro es una opción confiable para garantizar la seguridad de la red y prevenir ataques de ciberdelincuentes.

Si desea obtener más información sobre cómo proteger su empresa de las amenazas cibernéticas, contáctenos. Nuestro equipo de expertos en ciberseguridad está listo para ayudarlo a proteger su empresa y garantizar la seguridad de su información confidencial.

Síguenos en nuestras redes sociales  Nova InstagramFacebook y LinkedIn para más contenido de cibersguridad.

Publicado en

Un ataque de ransomware cierra plantas mineras

ransomware en mineras

La Corporación Minera Copper Mountain (CMMC) de Canadá fue atacada por un ransomware el 27 de diciembre de 2022.

En respuesta a este incidente, la empresa implementó rápidamente sistemas y protocolos de gestión de riesgos. Además, la empresa está cerrando plantas de forma activa para evaluar el impacto en sus sistemas de control, aislando operaciones y pasando a procedimientos manuales cuando sea posible.

La CMMC de 18,000 acres, que es propiedad parcial de Mitsubishi Materials, produce un promedio de 100 millones de libras de cobre por año y se estima que tiene más de 32 años de reservas minerales. “Los equipos de TI internos y externos de la empresa continúan evaluando los riesgos e implementando medidas de seguridad adicionales para mitigar cualquier riesgo adicional para la empresa”, dijo Copper Mountain Mining Corp en un nuevo comunicado.

Alcance del ataque

Según el consejo de CMMC, la brecha de seguridad cibernética no comprometió las medidas de seguridad de ninguna manera y no puso en peligro el medio ambiente. “No hubo incidentes de seguridad o ambientales como resultado del ataque. La principal prioridad de la compañía sigue siendo garantizar operaciones seguras y limitar el impacto operativo y financiero”, dijo la compañía.

Reanudar el negocio lo antes posible puede ayudar a las organizaciones a minimizar el impacto financiero de un incidente. “Copper Mountain está investigando el origen del ataque y se está comunicando con las autoridades correspondientes para ayudar a la empresa” – Copper Mountain Mining Corporation of Canada

El 13 de diciembre de 2022, un ciberdelincuente publicó la información de la cuenta de un empleado de CMMC en el mercado de piratas informáticos. Dada la fecha reciente entre la oferta de venta de las credenciales y el informe del ataque de ransomware, es probable que los piratas informáticos hayan utilizado las cuentas comprometidas para obtener acceso a la red de la empresa.

Los hallazgos de la empresa de seguridad Dragos revelaron que 86 ataques se dirigieron específicamente a los sistemas de las organizaciones de fabricación, en particular las relacionadas con los productos metálicos y la industria automotriz. Dragos señaló que solo la pandilla de ransomware LockBit apuntó a las industrias de tratamiento de agua y minería. Según la empresa alemana Aurubis, “esto es claramente parte de un ataque mayor a la industria de los metales y la minería”.

Recomendación: soluciones para evitar ransomware

Las siguientes soluciones están disponibles en el portafolio de Nova:

Apex One

Una solución de seguridad de Trend Micro. Es una solución que ofrece una amplia gama de funcionalidades de seguridad, como protección de amenazas en tiempo real, prevención de intrusiones, parcheo virtual, detección de comportamientos sospechosos y protección contra ransomware. Apex One se puede utilizar tanto en endpoints como en servidores y se puede integrar con otras soluciones de seguridad de Trend Micro y con sistemas de gestión de seguridad de terceros.

Una característica destacable es su adaptabilidad constante, aprendiendo y compartiendo de forma automática información sobre amenazas en su entorno.

Email Security

Solución de Trend Micro diseñada para proteger tu organización de amenazas a través de correo electrónico, ayuda a evitar spam, phishing, correos sospechosos, virus y otros tipos de malware que se distribuyen a través de correo electrónico, además nos ayuda a proteger la información confidencial de nuestra organización.

Te invitamos a seguir las redes sociales de Nova InstagramFacebook y LinkedIn para que estes enterado de ésta y más noticias y poder ayudarte a estar protegido a través del amplio portafolio de soluciones en Ciberseguridad con el que contamos.

Publicado en

Los grupos Ransomware as a service más activos de 2022.

RaaS actividad

De acuerdo con la actividad de seguimiento de Trend Micro con respecto al ransomware as a service para el segundo y tercer trimestre de 2022, se centra en las cuatro familias que registraron la mayor cantidad de ataques, las cuales son: LockBit , BlackCat , el recién llegado Black Basta y Karakurt, considerado como el brazo de extorsión del grupo de ransomware Conti.

La mayor cantidad de víctimas en el segundo y tercer trimestre combinados fueron registrados por LockBit y Black Basta. Los datos mostraron que LockBit contó un total de 436 organizaciones de víctimas, mientras que Black Basta tuvo un total de 101 durante el período de seis meses. Karakurt, por otro lado, ocupó el segundo lugar en el tercer trimestre, un lugar que ocupó BlackCat en el segundo trimestre del año.

El modelo de ransomware como servicio (RaaS) durante el período de abril a septiembre de 2022 se ha visto favorecido al tener una velocidad de implementación de malware y pagos más elevados dentro del período comprendido entre abril a septiembre de 2021. Estos informes se basan en datos de los sitios de RaaS y grupos de extorsión, la investigación de inteligencia de código abierto (OSINT) de Trend Micro y Trend Micro™ Smart Protection Network™, recopilados del 1 de abril al 30 de septiembre de 2022.

Las detecciones de ransomware en el tercer trimestre aumentaron un 15.2% en comparación con el trimestre anterior, ya que los grupos RaaS activos aumentaron un 13.3%.

Según los datos recopilados de los sitios de los grupos de ransomware, la mayor cantidad de ataques exitosos en el período de seis meses se atribuye a operadores RaaS conocidos: LockBit, BlackCat, Black Basta y el grupo de extorsión de datos Karakurt.

Grupos de ransomware
Ilustración 1. Familias de ransomware más utilizadas en RaaS

No sorprende que los ciberdelincuentes apunten a organizaciones percibidas como altamente vulnerables. Los actores de ransomware saben que toda la operación de las pequeñas y medianas empresas puede detenerse por completo cuando se enfrentan a ataques cibernéticos, ya que estas empresas tienen menos recursos de seguridad de TI para responder a los ataques cibernéticos.

  • Las pequeñas empresas comprendían el 43,1% de las víctimas de Black Basta en el segundo trimestre y el 40% en el tercer trimestre.
  • Por su parte, las medianas empresas obtuvieron participaciones de 35,3% y 38% en el segundo y tercer trimestre, respectivamente.
  • Las grandes empresas constituyeron el 21,6% en el segundo trimestre, descendiendo al 16% en el tercer trimestre.

Las organizaciones de América del Norte y Europa dominaron la lista de víctimas de LockBit desde abril hasta septiembre de 2022, ya que estas regiones ocuparon alternativamente el primer y segundo lugar en el segundo y tercer trimestre del año. Asia-Pacífico y América Latina ocuparon el tercer y cuarto lugar en el segundo y tercer trimestre, manteniendo las participaciones que tenían en ambos trimestres.

Independientemente del tamaño, las organizaciones son vulnerables a los ataques de ransomware modernos. Los actores maliciosos tienen todos los motivos para actualizar constantemente su arsenal de malware, idear esquemas más sigilosos para superar a la competencia y obtener una mayor parte de la recompensa. Por lo tanto, es clave una mentalidad proactiva para mitigar los riesgos de los ataques de ransomware.

Los correos electrónicos se han convertido en la principal puerta de entrada de ataques cibernéticos en las empresas, es por ello que recomendamos tomar medidas y adoptar soluciones que nos informen si estamos siendo atacados y mitiguen las principales amenazas.

Recomendación para prevenir ser victima del ransomware as a service.

Trend Micro Email Security y Vision One incluida dentro del portafolio de soluciones de seguridad dentro del portafolio de Nova. Son soluciones que nos ayudan a gestionar la ciberprotección en un panorama de amenazas que evolucionan continuamente y nos pueden ayudar a tener una protección todo en uno automatizada y detallada, dentro de la cual Trend Micro Email Security™ ofrece protección continuamente actualizada contra BEC, ransomware, spam y ataques dirigidos avanzados y Trend Micro Vision One™ ofrece una perspectiva más amplia y un mejor contexto para detectar amenazas con las capacidades de XDR líderes de la industria.

Con Trend Micro Email Security, los administradores de correo configuran políticas para gestionar los mensajes de correo electrónico en función de las amenazas detectadas. Por ejemplo, los administradores pueden eliminar el malware detectado de los mensajes entrantes antes de que lleguen a la red corporativa o poner en cuarentena el spam detectado y otros mensajes inapropiados.

Además, Trend Micro Email Security ofrece Email Continuity contra eventos de tiempo de inactividad planificados o no planificados, lo que permite a los usuarios finales continuar enviando y recibiendo mensajes de correo electrónico en caso de una interrupción.

Dentro de las características principales que nos puede ofrecer se encuentran las siguientes:

  • Protección por capas
  • Protección contra el fraude por correo electrónico
  •  Protección contra exploits de documentos
  • Protección avanzada contra amenazas
  • Extracción de contraseñas de archivos
  • Tiempo de clic en la URL
  • Verificación y autenticación de la Fuente

Gracias a esto podemos detectar y reaccionar contra los ataques antes de cualquier daño y tener visibilidad en las diferentes capas de nuestra estrategia de ciberseguridad blidando toda la organización.

Te invitamos a seguir las redes sociales de Nova InstagramFacebook y LinkedIn para que estes enterado de ésta y más noticias y poder ayudarte a estar protegido a través del amplio portafolio de soluciones en Ciberseguridad con el que contamos.

Publicado en

El Impacto de las Vulnerabilidades Zero Day

impacto de vulnerabilidades zero day

De acuerdo a un artículo generado por Microsoft las vulnerabilidades de Dia Cero (Zero day), son una de las principales fuentes para que los atacantes puedan crear tácticas nuevas y únicas para lanzar ataques y evadir la detección. 

Las vulnerabilidades de zero day una vez expuestas públicamente pueden ser rápidamente utilizadas por otras entidades y cibercriminales, ya que éstas son particularmente efectivas para una explotación inicial.  A medida que los actores de amenazas cibernéticas, tanto de entidades como criminales, se vuelven más expertos en aprovechar estas vulnerabilidades, se ha observado una reducción en el tiempo entre el anuncio de una vulnerabilidad y la mercantilización de éstas.

Muchas organizaciones asumen que es menos probable que sean víctimas de ataques de explotación de Zero Day si la gestión de vulnerabilidades es parte integral de la seguridad de su red. Sin embargo, la mercantilización de los exploits, los están llevando a un ritmo mucho más rápido. De tal modo que, los parches físicos demoran bastante en ser publicados y a esto se suma la demora en que estos son desplegados.

Los cibercriminales que utilizan vulnerabilidades de Zero Day, tienden a limitar inicialmente la explotación de este tipo de vulnerabilidades en las organizaciones, pero éstas se adoptan rápidamente en el ecosistema de actores de amenazas más grandes. Lo cual inicia una carrera para que los actores de amenazas exploten la vulnerabilidad tanto como sea posible antes de que sus objetivos potenciales instalen parches.

Asi mismo no solo los cibercriminales van tras las vulnerabilidades de Zero day, éstas podrían llegar a convertirse en armas gubernamentales. China en septiembre del 2021 creó la regulación de informe de vulnerabilidades, siendo el primer gobierno que requiere los informes de vulnerabilidades que se descubren en su territorio, para su revisión antes de que la vulnerabilidad se comparta con el propietario del servicio o producto, con esta regulación se permite que elementos del gobierno chino acumulen vulnerabilidades informadas para convertirlas en armas.

En promedio, tan sólo bastan 14 días para que un exploit sea desarrollado y esté disponible después de que se divulgue una vulnerabilidad de zero day.  En la gráfica se proporciona un análisis de los plazos de explotación de las vulnerabilidades de zero day, desde el descubrimiento de una vulnerabilidad, hasta la llegada del exploit en herramientas automatizadas de hacking.

De acuerdo al estudio de Microsoft, las organizaciones tienen un promedio de 60 días para parchar los productos o servicios antes que el primer código fuente de un exploit sea publicado como PoC, y así mismo, tienen un promedio de 120 días para realizar dicho parcheo, antes de que los exploits lleguen a herramientas automatizadas de hacking como metasploit,  ya que cuando un exploit llega a esta fase, el exploit es usado a gran escala, por lo que es más probable que la infraestructura de las organizaciones se llegue a comprometer si cuenta con esta vulnerabilidad.

Microsoft hace un par de recomendaciones para la mitigación de este tipo de vulnerabilidades:

1.- Priorizar la aplicación de parches a las vulnerabilidades de día cero tan pronto como se publiquen; no esperar a que se implemente el ciclo de administración de parches.

Si bien no siempre es posible implementar un parche por temas de producción o incluso por que en la mayoría de las ocasiones un parche físico tarda en ser liberado, aquí es donde entran los parches virtuales (Virtual Patching), que son reglas de seguridad que cubren desde la tarjeta de red del host el intento de explotación de alguna vulnerabilidad. 

Además, este tipo de parches son publicados más rápido que un parche físico, por lo que la mitigación de la vulnerabilidad es en menor tiempo, sin tener que afectar la producción o esperar hasta el próximo despliegue de parches físicos.

De acuerdo con el ciclo de administración de parches, herramientas de seguridad como Cloud One – Endpoint & Workload Security de Trend Micro, con su módulo de seguridad llamado Intrusion Prevention, ofrece una gran cantidad de reglas de Virtual Patching, lo cual permite mitigar vulnerabilidades de Zero Day incluso con bastante anticipación vs la publicación de un parche físico.

Nova cuenta con esta herramienta dentro de su portafolio de soluciones.

2.- Documentar e inventariar todos los activos de hardware y software de la empresa para determinar el riesgo y determinar rápidamente cuándo actuar sobre los parches.

No todas las empresas llevan correctamente el inventario de sus activos de software y hardware, y en otras ocasiones sus inventarios no siempre se encuentran actualizados. Una de las herramientas con las Nova cuenta en su portafolio es Tanium, que ofrece diferentes módulos de seguridad, entre ellos Asset e Interact, con los cuales podremos conocer en tiempo real los host que tenemos en nuestra infraestructura, así mismo conocer que software tienen desplegados, también el descubrimiento de host o dispositivos desconocidos que lleguen a conectarse dentro de nuestra infraestructura.

Así mismo, con su módulo Patch podemos realizar el despliegue de los parches físicos de una forma centralizada y optimizada, el cual nos ayuda a priorizar las vulnerabilidades críticas y de zero day una vez que los fabricantes liberan los parches físicos, de esta forma tomando la recomendación 1 que nos marca Microsoft.

Consulta la fuente de este artículo aquí:

Te invitamos a seguir las redes sociales de Nova Instagram, Facebook y LinkedIn para que estes enterado de ésta y más noticias y poder ayudarte a estar protegido a través del amplio portafolio de soluciones en Ciberseguridad con el que contamos.

Regístrate para recibir nuestro newsletter

Nova logo
Insurgentes Sur 1524 / Piso 4 Crédito Constructor / 03940 Ciudad de México / México
T. +52 55 5524 8908
soluciones
servicios
acerca de
contacto
blog
service desk
Facebook-f Linkedin-in Instagram Youtube Twitter

© 2023 Ingeniería Aplicada Nova SA de CV

Insurgentes Sur 1524 / Piso 4 Crédito Constructor / 03940 Ciudad de México / T. +52 55 5524 8908

© 2023 Ingeniería Aplicada Nova SA de CV

aviso de privacidad
bolsa de trabajo