Vulnerabilidad de ejecución remota de código en OpenSSL

vulnerabilidad de ejecución remota

En las más recientes actualizaciones de OpenSSL se encontraron 2 errores de seguridad en específico en el servicio, en estos errores encontrados se incluye una vulnerabilidad de ejecución remota grave que afecta la operación de la clave privada de RSA. La explotación de esta vulnerabilidad podría permitir a los atacantes la ejecución de código remoto.

Esta vulnerabilidad de corrupción de memoria de alta gravedad afectó a la versión de OpenSSL 3.0.4. El fallo existía en la implementación de RSA para CPU´s X86_64 que soportan las instrucciones AVX512IFMA. Al describir el impacto de esta vulnerabilidad CVE-2022-2274 se dijo: “Este problema hace que la implementación de RSA con claves privadas de 2048 bits sea incorrecta en dichas máquinas y la memoria se dañara durante el cálculo. Como consecuencia de la corrupción de memoria, un atacante puede desencadenar una ejecución remota de código en la máquina que realiza el cálculo.”

Esta vulnerabilidad existía en la versión de OpenSSL 3.0.4 descartando la afectación en las versiones 1.1.1 y 1.0.2.  Junto con esta falla, los proveedores también han solucionado un error de gravedad moderada (CVE-2022-2097) en el modo de AES OCB para plataformas x86_32 mediante la implementación optimizada de ensamblado AES-NI, bajo ciertas condiciones, esta implantación fallaría en cifrar los datos en su totalidad, haciendo inútil el propósito de implementar el cifrado de OpenSSL.

Como resultado, esta vulnerabilidad podría exponer datos en texto sin formato tal como se publicó en un comunicado. “Esto podría revelar 16 bytes de datos que ya existían en la memoria y que no estaban escritos. En el caso especial del cifrado “in place”, se revelarían 16 bytes del texto sin formato”

Este problema no afectó a TLS y DTLS debido a que OpenSSL no es compatible con el cifrado basado en OCB para ellos.

Estas vulnerabilidades ya recibieron correcciones con la versión 3.0.5 de OpenSSL.  Los usuarios con versión 1.1.1 deberían considerar actualizar última versión 1.1.1 para obtener solución para CVE-2022-2097.

Recomendación para la vulnerabilidad de ejecución remota:

La solución Apex One de Trend Micro disponible en el portafolio de Nova, utiliza combinaciones de técnicas avanzadas de protección contra amenazas para eliminar brechas de seguridad en cualquier actividad del usuario o terminal.

Ofreciendo mucho más que un simple escaneo, Apex One usa un sistema de prevención de intrusiones basado en host (HIPS) para parchar virtualmente vulnerabilidades.

Síguenos en InstagramFacebook y LinkedIn para para más contenido de ciberseguridad.

Consulta la fuente de este artículo aquí:

Karakurt, un grupo cibercriminal que extrae información de organizaciones.

Esta operación maliciosa se caracteriza por no usar malware durante sus intrusiones, contrario a prácticamente cualquier otro grupo de extorsión. Los rescates exigidos por Karakurt van desde los $25,000 hasta los $13 millones, y siempre se debe realizar el pago a través de bitcoin. Karakurt había comenzado como una agrupación de filtraciones y subastas en la dark web, aunque el dominio utilizado para sus operaciones fue desconectado hace un par de meses. Para inicios de mayo, el nuevo sitio web de Karakurt contenía varios terabytes de datos presuntamente pertenecientes a víctimas en América del Norte y Europa, además de una lista de supuestas víctimas.

Otro rasgo característico de Karakurt es que no se enfocan solamente en un tipo específico de víctima, ya que simplemente basan sus ataques en la posibilidad de acceder a las redes comprometidas. Para sus ataques, los hackers pueden usar mecanismos poco protegidos y debilidades de infraestructura, o bien colaborar con otros grupos cibercriminales para obtener acceso inicial al objetivo. Acorde a CISA, comúnmente los hackers obtienen acceso a las redes comprometidas explotando dispositivos SonicWall VPN o Fortinet FortiGate sin actualizaciones u obsoletos, empleando fallas populares como Log4Shell o errores en Microsoft Windows Server.

Según un informe, Karakurt es parte de la red Conti, que opera como un grupo autónomo junto con Black Basta y BlackByte, otros dos grupos que dependen del robo de datos y la extorsión con fines de monetización.

Recomendación.

El mantener los aplicativos actualizados a últimas versiones recomendadas por el fabricante puede garantizar una cobertura más amplia ante ataques, debido a que en nuevas actualizaciones o parches los fabricantes suelen añadir nuevas características para evitar vulnerabilidades.

Con Deep Discovery Inspector de Trend Micro al ser un aplicativo de red física o virtual, nos proporciona visibilidad, inspección de tráfico, detección de amenazas avanzadas y un análisis en tiempo real. Esto gracias a que algunos de sus métodos de detección son:

  • Simulación de aislamiento personalizado.
  • Análisis heurístico basado en reglas.
  • Análisis de malware.
  • Supervisa el tráfico de red conectándose al puerto espejo de un conmutador para una interrupción mínima o nula de la red.

Síguenos en Instagram, Facebook y LinkedIn para más contenido de ciberseguridad y tecnologías de la información.

Consulta la fuente de este artículo aquí.

#NovaRecomienda

Emotet está de vuelta después de 10 meses, con nuevas técnicas para propagar malware.

La botnet parece utilizar un nuevo método de entrega para comprometer los sistemas Windows después de que Microsoft deshabilita las macros de VBA de forma predeterminada.

Los ataques de malware de Emotet están de vuelta después de un “spring break” de 10 meses. Ese nuevo enfoque incluye ataques de phishing más específicos, diferentes de las campañas anteriores.

Analistas vincularon esta actividad con el actor de amenazas conocido como TA542, que desde 2014 ha aprovechado el malware Emotet con gran éxito.

Emotet, una vez apodado “el malware más peligroso del mundo” está siendo aprovechado en su campaña más reciente para entregar ransomware. Los responsables de la distribución del malware han estado en la mira de las fuerzas del orden durante años. En enero de 2021, las autoridades de Canadá, Francia, Alemania, Lituania, los Países Bajos, Ucrania, el Reino Unido y los Estados Unidos trabajaron juntos para derribar una red de cientos de servidores de botnets que soportan Emotet, como parte de la “Operación LadyBird”.

Nueva fase de Emotet

Los atacantes detrás del malware han enviado millones de correos electrónicos de phishing diseñados para infectar los dispositivos con malware y pueden ser controlados por botnets.

Esta nueva prueba de correos electrónicos de phishing podría ser el resultado de las acciones de Microsoft para deshabilitar macros específicas asociadas con las aplicaciones de Office en febrero de 2022. En ese momento, Microsoft dijo que estaba cambiando los valores predeterminados para cinco aplicaciones de Office que ejecutan macros. Esto evita que los atacantes se dirijan a documentos con servicios de automatización para ejecutar el malware en los sistemas de las víctimas.

Las nuevas técnicas observadas en campañas recientes parecían probarse a menor escala, como una prueba de potencial para una campaña más grande.

Las nuevas campañas utilizan cuentas de correo electrónico comprometidas para enviar correos electrónicos de spam-phishing con un título llamativo de una palabra. Los términos comunes en los ataques de phishing incluyen “salario” se utilizan para alentar a los usuarios a hacer clic por curiosidad, las nuevas técnicas observadas en campañas recientes parecían probarse a menor escala, como una prueba de potencial para una campaña más grande.

Según los investigadores, el uso de URL de OneDrive y XLL hace que esta campaña sea distinta de las anteriores. Anteriormente, Emotet intentó propagarse a través de archivos adjuntos de Microsoft Office o URL de phishing. Esas cargas maliciosas incluían documentos de Word y Excel que contenían scripts o macros de Visual Basics para Aplicaciones (VBA).

Recomendación

Trend Micro Email Security, incluido dentro del portafolio de NOVA nos ayuda a detener ataques de phishing, ransomware y BEC. Con tecnología de seguridad XGen™, nuestra solución utiliza una combinación óptima de técnicas de amenazas intergeneracionales, como machine learning, análisis en sandbox, prevención de pérdida de datos (DLP) y otros métodos para detener todo tipo de amenazas de correo electrónico.

También cuenta con autenticación basada en el dominio, SPF, DKIM y DMARC son tres sistemas de autenticación de correo electrónico que protegen contra el falseamiento del correo electrónico.

El marco de directivas de remitente (SPF) es un estándar abierto para evitar la falsificación de direcciones de remitente. El SPF protege el remite, que se usa para entregar los mensajes de correo electrónico. Email Security le permite comprobar la autenticidad del remitente mediante la configuración de SPF.

DomainKeys Identified Mail (DKIM) es un sistema de validación de correo electrónico que detecta el falseamiento del correo electrónico validando la identidad del nombre de dominio asociada con un mensaje mediante la autenticación criptográfica. Asimismo, DKIM se usa para garantizar la integridad de los mensajes entrantes y para comprobar que un mensaje no se ha alterado durante la transferencia.

La autenticación de mensajes, informes y conformidad basada en dominios (DMARC) es un sistema de validación de correo electrónico que permite detectar y evitar el falseamiento de correo electrónico. Está diseñado para luchar contra determinadas técnicas que se utilizan en el phishing y el spam, como mensajes de correo electrónico con direcciones de remitentes falsos que parecen proceder de organizaciones legítimas. Permite autenticar mensajes de correo electrónico para dominios específicos, enviar información a los remitentes y ajustarse a una política publicada.

Una vez implementado Trend Micro Email Security los administradores de correo pueden configurar reglas para detectar y eliminar malware de los mensajes entrantes antes de que lleguen a la red corporativa Email Security puede poner en cuarentena el spam detectado y otros mensajes inadecuados. 

Síguenos en Instagram, Facebook y LinkedIn para más contenido de ciberseguridad y tecnologías de la información.

Consulta a fuente de la noticia aquí.

#NovaRecomienda

CVE-2022-22965: Análisis sobre explotación de la vulnerabilidad Spring4Shell en el armado y ejecución del malware Mirai Botnet

Trend Micro Threat Research observó la explotación activa de la vulnerabilidad Spring4Shell asignada como CVE-2022-22965, que permite a los actores malintencionados armar y ejecutar el malware de botnet Mirai. La explotación permite a los actores de amenazas descargar la muestra de Mirai a la carpeta “/tmp” y ejecutarlos después del cambio de permiso usando “chmod”.

Comenzó a ver actividades maliciosas a principios de abril de 2022. También logró localizar el servidor de archivos de malware con otras variantes de la muestra para diferentes arquitecturas de CPU.

¿Qué es Spring Framework?

Spring Framework es parte del ecosistema Spring, que comprende otros componentes para la nube, datos y seguridad, entre otros.

Spring Framework se utiliza para desarrollar aplicaciones de nivel empresarial en Java. Es una plataforma que proporciona una infraestructura completa para admitir aplicaciones basadas en modelo, vista, controlador o MVC desarrolladas para reducir la configuración manual y mejorar la gestión de la memoria. También hace que el código sea más reutilizable y más fácil de mantener al implementar algunos patrones de diseño universalmente.

Dependencias, software y versiones afectadas

En el momento de escribir este artículo, la mayoría de las configuraciones vulnerables se generaron para las siguientes dependencias:

  • Versiones de Spring Framework anteriores a 5.2.20, 5.3.18 y Java Development Kit (JDK) versión 9 o superior
  • Apache Tomcat
  • Dependencia de spring-webmvc o spring-webflux
  • Usar el enlace de parámetros Spring que está configurado para usar un tipo de parámetro no básico, su acrónimo en inglés Plain Old Java Objects (POJO)
  • Desplegable, empaquetado como un archivo de aplicación web (WAR)
  • Sistema de archivos grabable como aplicaciones web o ROOT

En general, esta vulnerabilidad ocurre cuando se exponen objetos o clases especiales bajo ciertas condiciones. Es bastante común que los parámetros de solicitud estén vinculados a un POJO que no está anotado con @RequestBody, lo que ayuda a extraer parámetros de solicitudes HTTP. La variable de clase contiene una referencia al objeto POJO al que se asignan los parámetros HTTP.

Los actores de amenazas pueden acceder directamente a un objeto especificando la variable de clase en sus solicitudes. Los actores malintencionados también pueden acceder a todas las propiedades secundarias de un objeto a través de los objetos de clase. Como resultado, pueden acceder a todo tipo de otros objetos valiosos en el sistema simplemente siguiendo las cadenas de propiedades.

En Spring Core para “class.classLoader” y “class.protectionDomain”, la lógica evita el acceso malicioso a las propiedades secundarias del objeto de clase. Sin embargo, la lógica no es infalible y, de hecho, puede omitirse utilizando el selector “class.module.classLoader”.

Riesgos asociados si no se repara

La vulnerabilidad RCE brinda a los actores de amenazas acceso total a los dispositivos comprometidos, lo que la convierte en una vulnerabilidad crítica y peligrosa. Los actores maliciosos pueden lograr varios objetivos a través de ataques RCE. A diferencia de otros exploits, un ataque RCE suele dar como resultado lo siguiente:

  • Creación de una ruta para permitir el acceso inicial a un dispositivo que permite a los actores de amenazas instalar malware o lograr otros objetivos
  • Provisión de medios para propagar malware que extrae y extrae datos de un dispositivo, o habilitación de comandos que instalan malware diseñado para robar información
  • Denegación de servicio que interrumpe el funcionamiento de los sistemas u otras aplicaciones en el sistema
  • Despliegue y ejecución de malware de cryptomining o cryptojacking en dispositivos expuestos mediante la explotación de la vulnerabilidad RCE
  • Despliegue de ransomware que encripta archivos y retiene el acceso hasta que las víctimas paguen el rescate

Parches y mitigaciones disponibles

Se han lanzado parches para esta vulnerabilidad, se recomienda la actualización de:

  • Spring Framework a las versiones 5.3.18+ y 5.2.20+.
  • Spring Boot a las versiones 2.6.6+ y 2.5.12+.

Trend Micro también ha lanzado reglas y filtros para detección y protección en algunos de sus productos. Estos proporcionan protección adicional y detección de componentes maliciosos asociados a esta amenaza.

Workload Security y Deep Security IPS

  • Regla 1011372 – Spring Framework “Spring4Shell” Remote Code Execution Vulnerability (CVE-2022-22965)

Network Security y TippingPoint

  • Filtro 41108: HTTP: Spring Core Code Execution Vulnerability

Reglas inspección de contenido de red Trend Micro Deep Discovery Inspector

  • Regla 4678: CVE-2022-22965 – Spring RCE Exploit – HTTP(Request)
  • Regla 4679: Possible Java Classloader RCE Exploit – HTTP(Request)

Te invitamos a seguir las redes sociales de Nova Instagram, Facebook y LinkedIn para que estes enterado de ésta y más noticias y poder ayudarte a estar protegido a través del amplio portafolio de soluciones en Ciberseguridad con el que contamos incluyendo Trend Micro.

Consulta la fuente de este artículo aquí:

#NovaInforma

Se detectan correos con el propósito de extorsionar a usuarios para difundir supuestos videos íntimos

Se han detectado correos electrónicos los cuales tienen como objetivo extorsionar a los usuarios para que paguen dinero en bitcoins a cambio de no publicar o difundir supuestas grabaciones intimas. Este tipo de ataques / ciber extorsión son con la finalidad de preocupar al usuario para poder recibir un pago ante supuestos videos que ni siquiera existen y así de esta manera el usuario receptor del correo malicioso proceda a realizar el pago hacia el atacante.

El correo electrónico malicioso simula ser enviado desde la propia cuenta del usuario ya que en este tipo de acciones suplantan la identidad del usuario. Aunque realmente no es así, podemos comprobar el remitente real siguiendo los pasos de este contenido: Email spoofing: comprueba quién te envía un correo sospechoso.

El asunto del correo es el siguiente: ‘Propuesta de negocio’, pero podrían existir otros correos con información o asunto similares o bien pueden ser diferentes, pero con la misma finalidad.

Dentro del correo se le menciona al usuario afectado que su dispositivo ha sido infectado con un software espía con el que han conseguido extraer información de supuestos vídeos íntimos. En este punto el ciberdelincuente amenaza con difundir los videos entre los contactos del destinatario del correo, a no ser que realice un pago en bitcoins en un plazo de 48 horas. El objetivo de este tiempo es evitar que el usuario pueda analizar detenidamente la situación y pueda tomar medidas o acciones para evitar el ataque ante el miedo de pensar que dicho material comprometido pueda ser distribuido.

El atacante indica en el texto del mensaje que si se realiza el pago en el plazo indicado se procederá a eliminar los videos. Como se ha mencionado, el ciberdelincuente no tiene ninguna información personal ni videos, simplemente es la excusa que utilizan para que el usuario proceda a realizar el pago.

Recursos afectados:

Cualquier usuario que haya recibido un correo electrónico con características similares y haya hecho acciones como realizar el pago, entrado a algún link que esté en el cuerpo del correo, descargado algún archivo adjunto dentro de ese correo, podría afectar directamente su computadora.

Posible Solución:

En cuanto se reciba un correo sospechoso con las características descritas en este aviso de seguridad es recomendable no contestar y eliminarlo al momento. Nadie ha tenido acceso a tus dispositivos, ni ha grabado un vídeo íntimo. Se trata de un engaño que utiliza estrategias de ingeniería social para que sigas las indicaciones del ciberdelincuente.

NOTA IMPORTANTE: No se debe realizar ningún pago de ninguna cantidad, sobre todo no responder el correo ya que con esta acción estamos avisando a los ciberdelincuentes que nuestra cuenta / dominio están activos y de esta manera el ciber atacante mandará más ataques en el futuro.

Recomendación:

Nova recomienda una de las mejores soluciones en su portafolio TREND MICRO EMAIL SECURITY

Trend Micro™ Email Security detiene más ataques de phishing, ransomware y BEC energizado por

Seguridad XGen™. Nuestra solución utiliza una combinación óptima de técnicas de amenazas intergeneracionales, como aprendizaje automático, análisis de sandbox, prevención de pérdida de datos (DLP) y otros métodos para detener todo tipos de amenazas de correo electrónico.

Esta solución minimiza los gastos generales de administración y se integra con otras capas de seguridad de Trend Micro para compartir inteligencia sobre amenazas y brindar visibilidad central de las amenazas en toda su organización.

CARACTERÍSTICAS CLAVE TREND MICRO EMAIL SECURITY

• Protección en capas

• Protección contra el fraude por correo electrónico

• Protección contra vulnerabilidades de documentos

• Protección contra amenazas avanzada

• Extracción de archivos con contraseña

• Hora del clic en la URL

• Verificación y autenticación de la fuente

• Inteligencia de amenazas

• Cifrado de correo electrónico

• DLP

• Continuidad del correo electrónico

• Informes flexibles

• Connected Threat Defense

Síguenos en Instagram, Facebook y LinkedIn para más contenido de ciberseguridad y tecnologías de la información.

Consulta la Fuente de esta noticia aquí:

#NovaRecomienda

¿Están los endpoints en riesgo de ataques por la vulnerabilidad Log4Shell?

log4j

A finales del año pasado, surgió la vulnerabilidad Log4Shell (CVE-2021-44228), una vulnerabilidad crítica en el paquete de registro Java de Apache Log4j. Explotar Log4Shell a través de mensajes de registro creados puede permitir que un atacante ejecute código en máquinas remotas. El impacto potencial de esta vulnerabilidad es lo suficientemente peligroso para ganar una puntuación de 10.0 basado en la versión 3.x de CVSS y un 9.3 basado en la versión 2.0 de CVSS en términos de riesgo crítico – y es fácil ver por qué.

Esta vulnerabilidad tiene el potencial de tener consecuencias importantes debido al amplio uso de Log4j. Cuando un usuario con malas intenciones logra obtener el control del sistema de mensajería de registros y afectar el proceso Log4j relevante, puede llevar ataques posibles de ejecución remota de código.

Aunque los ataques hasta ahora se han dirigido al nivel del servidor, podría existir una segunda ola de ataques que podría poner en riesgo a los endpoints.

Posibles ataques a dispositivos

Un actor malicioso puede usar la vulnerabilidad para detonar ataques contra los dispositivos de consumidor e incluso automóviles. por ejemplo, demostraciones recientes de varios investigadores han mostrado como los IPhones de Apple e incluso los automóviles de Tesla pueden verse comprometidos a través de simples cadenas de exploits, después de las cuales se pueden realizar comandos y robarse datos sensibles de los servidores del backend que se usan para estas máquinas.

Los servidores continúan siendo los blancos con el nivel de riesgo más alto de ataques de Log4Shell, especialmente los servidores de cara al internet que están usando versiones vulnerables de Log4j ya que son los más fáciles de comprometer, seguidos de los servidores internos que están corriendo versiones vulnerables de Log4j pero también tienen algún tipo de servicio expuesto que puede ser comprometido por los brokers de acceso. Finalmente, es posible que los actores maliciosos podrían comenzar atacar computadoras de escritorio que están corriendo versiones vulnerables de Log4j a través de ciertas aplicaciones en el escritorio.

¿Qué puede hacer?

Recomendamos revisar constantemente si tus equipos son vulnerables, si crees que tu infraestructura está en riesgo te invitamos a utilizar la herramienta de evaluación gratuita que ha creado Trend Micro de escaneo de vulnerabilidades que puede cubrir todos los escenarios posibles – incluyendo ataques en servidores, computadoras de escritorio y endpoints. La herramienta puede ayudar a los usuarios a revisar si están corriendo aplicaciones que tienen una versión vulnerable del Log4j.

Debido a que los exploits de Log4Shell ya se han utilizado de forma maliciosa, debe de ser una prioridad para todos parchar las máquinas vulnerables. La mayoría de los vendors de software han liberado guías para ayudar a sus clientes a llegar a una solución apropiada. Se recomienda ampliamente que los usuarios aplican los parches de sus vendors a la última versión conforme se hacen disponibles. También si lo requieres en Nova podemos hacer un asessment para ti y corregir las brechas de seguridad de tu infraestructura si la herramienta encontró vulnerabilidades y no sabes que hacer, consúltanos.

No olvides seguirnos en Instagram, Facebook y LinkedIn para más contenido de ciberseguridad y tecnologías de la información, estamos seguros de que no querrás perdértelo.

#NovaInforma

Vulnerabilidad Log4J usada para esparcir Ransomware.

ransomware Nova

Los grupos de Hackers han acudido en masa para aprovechar la vulnerabilidad Log4J, que ha abierto la puerta a más ataques.

Los grupos de ransomware están acudiendo a la exploración de la vulnerabilidad Log4j, la cual ha afectado a empresas de todo el mundo en las últimas semanas, lo que ha abierto la puerta para que los Hackers intenten más ataques en el lado del servidor. 

Resumen de la vulnerabilidad

Log4j es una vulnerabilidad de JavaScript que está presente en millones de sistemas alrededor del mundo, la cual se descubrió a principios de este mes, esta ha creado las condiciones perfectas para que los grupos de ransomware ataquen. La omnipresencia de Log4J como un componente básico de tantos productos de software, combinada con la dificultad de parchear la vulnerabilidad, hace que este sea un problema crítico que abordar para muchas organizaciones.

Los hackers aprovechan la vulnerabilidad de esta forma

Log4j empieza a ser responsable para iniciar propagación de Ransomware, un ejemplo de ello es que esta vulnerabilidad es la responsable de revivir una cepa de ransomware que no ha estado tan activa desde el 2020. TellYouThePass no se ha visto desde julio de 2020, pero ahora ha regresado y ha sido una de las amenazas de ransomware más activas que se aprovecha de Log4J. “Hemos visto específicamente a los actores de amenazas que utilizan Log4J para intentar instalar una versión anterior de TellYouThePass”, explica Sean Gallagher, investigador de amenazas de la empresa de seguridad Sophos. “En los casos en los que hemos detectado estos intentos, se han detenido. TellYouThePass tiene versiones de Windows y Linux, y muchos de los intentos que hemos visto se han dirigido a servidores basados ​​en la nube en AWS y Google Cloud”.

Recomendación

La solución Workload Security (Deep Security) de Trend Micro, cuenta con módulos para la identificación y detección de ambos tipos de ataques. Esta herramienta cuenta con un motor de Anti-Malware, el cual no se basa solamente en patrones, si no que ya cuenta con la identificación mediante heurística. Con Predictive Machine Learning nos apoya a la identificación de Ransomware mutado o variantes conocidas, así mismo con Behavior Monitoring identifica estas amenazas mediante el comportamiento que realiza la amenaza al ejecutarse, lo cual identifica Ransomware no tan conocido, dirigido o de 0-day.

La solución cuenta con un módulo HIPS (Host Intrusion Prevention System), el cual mediante reglas (Creadas por Trend Micro o manualmente) parchea virtualmente el servidor, lo cual nos apoya a que la explotación de ciertas vulnerabilidades no sea satisfactoria. En el caso de la vulnerabilidad Log4J ya se cuentan con un par de reglas para ser mitigada.

Te invitamos a seguirnos en nuestras redes sociales Instagram, Facebook y LinkedIn para encontrar éstas y demás soluciones que NOVA ofrece para mantener tu infraestructura de red segura y libre de ciber amenazas.

Consulta las fuentes de este artículo aquí:

#Novainforma

Atención a las estafas del Black Friday: así intentarán robar tu cuenta de Amazon para comprar con tu dinero

estafa

Se acercan fechas en las que las empresas buscan impulsar la economía de un país, fomentar el consumo y llevar beneficios a todas las personas, dando grandes descuentos en tiendas físicas y en línea. Es por eso que estas épocas son aprovechadas por ciberdelincuentes o estafadores que a través de una técnica llamada “phishing” envían mensajes apócrifos que intentan persuadir a los consumidores y robar algunos de sus datos como su usuario y contraseña para acceder a sus cuentas.

Amazon es una de las plataformas más reconocidas en todo el mundo para realizar compras en línea, con la llegada de el “Black Friday” para EU y el “Buen Fin” para el caso de México, los ciberdelincuentes preparan sus ataques de “phishing” para intentar robar datos de cuentas y realizar compras con el dinero de los usuarios despistados.

Este tipo de trampas son lanzadas vía correo electrónico a miles de usuarios tanto a empresas como a usuarios comunes, esta estafa llega como una supuesta compra no autorizada y una vez que el usuario da click al enlace, se le invitará a crear una cuenta en Amazon Business para acceder a un 25% de descuento en la primera compra, el usuario necesitará confirmar su cuenta y proporcionará sus datos de correo electrónico y contraseña para obtener el supuesto descuento.

Por otra parte, otro intento de estafa por parte de los ciberdelincuentes es mandando un correo con una supuesta orden de Amazon, en donde se le indica al usuario una supuesta compra realizada, en el que a través de un link podrán verificar si han efectuado dicho gasto. Este link manda al usuario a una página apócrifa que el ciberdelincuente creó con el fin de robar los datos.

Recomendación

La solución Email Security que está disponible en el portafolio de Nova es una de las soluciones que ofrece protección actualizada constantemente contra BEC, ransomware, spam y ataques dirigidos avanzados, además de características grado Enterprise. Email Security protege a los miembros de una organización de los ataques de phising que lleguen vía correo electrónico.

Email Security permite la continuidad del servicio de correo electrónico, es decir, permite a los usuarios seguir recibiendo y enviando correos electrónicos durante un corte de este servicio.  Email Security puede realizar un análisis de Sandbox para archivos y URL´s desconocidas, además de contar con una ventana de búsqueda y rastreo de correo más grande entre otras características.

No olvides seguirnos en Instagram, Facebook y LinkedIn para más contenido de ciberseguridad y tecnologías de la información, estamos seguros de que no querrás perdértelo.

 La conciencia del peligro es ya la mitad de la seguridad y de la salvación.

Ramón J. Sénder

Consulta las REFERENCIAS para este artículo AQUÍ.

Google notifica sobre vulnerabilidad a usuarios de CHROME

ciberseguridad Nova

Google notifica a los usuarios de Chrome sobre dos nuevos ataques que aprovechan vulnerabilidades de Google CHROME

Google confirma el undécimo ataque de día cero a Chrome y emite una solución de emergencia, Google reveló que se han descubierto las vulnerabilidades 12 y 13 de día cero de Chrome (CVE-2021-37975 y  CVE-2021-37976) Y afectarán a los usuarios de Linux, macOS y Windows. Los ataques de día cero son fundamentales porque significa que los piratas informáticos los conocen antes de que Google publique las correcciones. Esto pone a los usuarios de Chrome en peligro inmediato. Google reiteró este punto, afirmando que “sabe que las vulnerabilidades de CVE-2021-37975 y CVE-2021-37976 existen en la naturaleza”.

Según el acuerdo, Google está restringiendo la información sobre estos dos ataques para ganar tiempo para que los usuarios de Chrome se actualicen. La vulnerabilidad UAF es una vulnerabilidad de la memoria, cuando el programa no puede borrar el puntero de la memoria después de liberar la memoria.

Para resolver este problema, Google lanzó una actualización importante. La compañía advierte a los usuarios de Chrome que la implementación se escalonará, por lo que no todos pueden protegerse de inmediato. Para comprobar si está protegido, vaya a Configuración> Ayuda> Acerca de Google Chrome Si su versión de Chrome es 94.0.4606.71 o superior, está seguro. Si su navegador no se ha actualizado, compruebe periódicamente si hay nuevas versiones.

Es importante reiniciar Google Chrome después de la actualización.

Y recuerde el último paso crucial. Incluso después de la actualización, Chrome no es seguro hasta que se reinicia. Google puede parchear rápidamente a las vulnerabilidades de Chrome, pero los atacantes han encontrado una gran cantidad de opciones de los usuarios de Chrome que no se dieron cuenta de que aún eran vulnerables después de que se instaló la actualización. Ahora revisa tu navegador.

Con herramientas de Trend Micro puede ejecutar parcheos virtuales dentro de su sistema, herramientas como Trend Micro Vision One XDR pueden detectar ataques de día cero y movimientos laterales dentro de la red.

Consulta la fuente de este artículo aquí.

No olvides seguirnos en Facebook y LinkedIn para más contenido de ciberseguridad y tecnologías de la información, estamos seguros de que no querrás perdértelo.

#NovaInforma

El Cyber Risk Index ahora incluye a Latinoamérica.

risk nova

El Cyber Risk Index es un estudio que realiza Trend Micro desde hace ya 4 años, tiene el objetivo de ayudar a las organizaciones a minimizar sus riesgos ante un ciberataque; en esta ocasión se agregó a la región de Latinoamérica a la lista de datos regionales.

El estudio también abarca a Norteamérica, Europa, Asia-pacifico y Latinoamérica, creando una visión global de riesgo que enfrentan las empresas en todo el mundo.

Este estudio se enfoca en dos áreas de las empresas:

  1. La capacidad para prepararse ante un ciberataque
  2. La evaluación actual de las amenazas de las que son objetivo

Entonces, estos datos se utilizan para calcular el riesgo con una escala de -10 a 10, los resultados negativos representan un nivel más alto de riesgo.

El índice de ciber riesgo global es de -0.42, que en realidad se considera un numero alto, sin embargo, es un poco más bajo respecto al año anterior pues Latinoamérica registró un nivel de riesgo más bajo.

El nivel de riesgo más alto pertenece a Norteamérica y sorprendentemente Latinoamérica obtuvo un resultado positivo, algo que nunca se había visto antes, esto nos dice que los latinos están mejor preparados para un ataque que las demás regiones, sin embargo, no significa que no exista riesgo de amenazas.

Según un estudio de Trend Micro estos son los cinco riesgos de seguridad más importantes alrededor de su infraestructura:

  • Falta de alineación y complejidad organizacional
  • Deficiente gestión de computadoras de escritorio o laptops
  • Infraestructura y proveedores de cómputo en la nube
  • Ambiente de servidores DNS
  • Dispositivos y aplicaciones IoT

Estas son las áreas de preparación que más necesitan trabajarse para abordar las áreas de mayor riesgo percibido:

  • Asegurar que el líder de seguridad de TI (CISO) cuenta con la autoridad y recursos suficientes para lograr una postura de seguridad fuerte.
  • Mejorar la capacidad de la organización de conocer la ubicación física de aplicaciones y datos críticos al negocio.
  • Buscar mejorar la falta de alineación organizacional y la complejidad de su infraestructura de seguridad
  • Capacitar y educar a los empleados acerca de las ciber amenazas y asegurar que ven a la ciberseguridad como una parte necesaria de sus trabajos
  • Adoptar infraestructura de cómputo en la nube y trabajar con los proveedores para protegerla. Además, educar al personal encargado de implementar estas nuevas tecnologías, para que puedan hacerlo de forma segura.
  • Mejorar la capacidad de detectar y responder ante nuevos ataques y desplegar una infraestructura más interconectada.
  • Defensa contra amenazas que limite el número de soluciones de seguridad y permita la visibilidad a lo largo del ciclo de vida entero del ataque.
  • Buscar maneras de mejorar cómo se comparte la información sobre amenazas, así como la colaboración con otras organizaciones y gobiernos

En Nova te recomendamos una plataforma de seguridad multicapa, que te permita ver, detectar y responder mejor sobre cualquier tipo de amenaza, sabemos que no puedes defenderte de lo que no ves, por ello soluciones como Trend Micro Vision One son un gran aliado, mejor visibilidad en correos, endpoints, servidores y workloads en nube. Te da una perspectiva más amplia y un mejor contexto de una visión centrada en el ataque de una cadena de eventos con el poder de investigar y actuar desde un solo lugar.

No olvides seguirnos en Facebook y LinkedIn estamos creando el mejor contenido de ciberseguridad y tecnologías de la información, estamos seguros de que no querrás perdértelo.

#NovaInforma