logo nova
Search
logo nova

Etiqueta: vulnerabilidad

Publicado en

Ataques DDoS, Defacement y HermeticWiper derivado del conflicto Rusia-Ucrania

La creciente tensión entre Rusia y Ucrania ha provocado que no sólo los ataques se realicen por aire y tierra, sino que ahora, con la importancia del ramo tecnológico para cualquier tipo de actividad, los ciber ataques juegan un papel relevante en este tipo de conflictos bélicos.

Desde el pasado mes de febrero, la policía cibernética de Ucrania detectó que los ciudadanos de dicho país estaban recibiendo SMS diciendo que los cajeros ATM estaban presentado fallas. El objetivo de esos mensajes era causar alarma entre la población. Posterior a ello, se presentaron ataques de DDoS dirigidos al Ministerio de Defensa de Relaciones Exteriores, las fuerzas armadas de Ucrania, y algunas instituciones bancarias, esto a través de las botnets conocidas como Mirai y Meri. Se especula que muy probablemente los ataques provenían de Rusia, sin embargo, todo indica que también otras organizaciones maliciosas han aprovechado la situación para lanzar más ataques de DDoS.

El pasado 23 de febrero, el archivo llamado conhosts._exe fue subido a un repositorio de malware público, el cual tenía una firma válida por parte de la organización Hermetica Digital Ltd. Dicho archivo trae embebido un malware de la familia Wiper que fue nombrado HermeticWiper, éste una vez que se ejecuta, borra todos los archivos del sistema donde fue ejecutado.

A la par de lo anterior, también hubo ataques Defacement a websites ucranianos. En esencia, este ataque usaba la misma plantilla de la vulnerabilidad OctoberCMS descubierta a inicio de este año. Los sitios afectados redirigen a una entidad llamada Free Civilian que ofrece bases de datos que contienen datos personales de ciudadanos ucranianos.

El temor aquí es que estos ataques también se propaguen a organizaciones financieras, gubernamentales, etc. de todo el mundo.

Afortunadamente, el equipo Unit 42 de Palo Alto está en constante análisis de la situación y los ataques que han ido surgiendo. Por ello, diariamente están actualizando los patrones de detección de malware que están bloqueando cientos de dominios, IP’s y URL’s relativas a los nuevos ataques. También han agregado nuevas firmas a los patrones de detección de Wildfire que de igual manera bloquean el malware HermeticWiper.

Te invitamos a seguir las redes sociales de Nova Instagram, Facebook y LinkedIn para que estés enterado de ésta y más noticias, y como podemos ayudarte a estar protegido a través del amplio portafolio de soluciones en ciberseguridad con el que contamos como lo es Palo Alto Networks.

#NovaRecomienda

Publicado en

Ciberataques desaparecen los sitios web de Ucrania.

Con la Invasión rusa en marcha, expertos archivistas tratan de salvar la historia digital de un país entero.

Los sitios web del gobierno ucraniano se desconectaron mientras las tropas rusas avanzaban el pasado jueves 24 de febrero, los investigadores de ciberseguridad han descubierto malware que borra información en miles de computadoras ucranianas, esto significa que los ciberataques están avanzando a la par de los ataques aéreos rusos.

Desde el 2014 Rusia ha lanzado cantidad de ataques cibernéticos a Ucrania sin precedentes, los expertos temen que se pierda la información de este país, concretamente el temor se centra en los sitios web gubernamentales y culturales, pues con el Presidente Vladimir Putin prometiendo un cambio de régimen es probable que esta información se pierda para siempre.

La respuesta de archivistas de todo el mundo fue impresionante, pues comenzaron a dedicar ancho de banda y espacio en discos para preservar la historia digital del país, sin embargo no es una tarea sencilla, no solo por la cantidad de información, también tienen que ver otros factores como la veracidad y confiabilidad de la misma, se sabe que en tiempos de guerra los bandos suelen destruir cierta información y escribir convenientemente su versión de los hechos, aquí es cuando los archivistas deben tener cuidado con la información que están respaldando pues quizá en 50 años lo que está sucediendo hoy se cuente de otra forma.

Algunos expertos explican también que no se trata de archivar información clasificada, más bien es información que se ha puesto en línea para que el resto del mundo la vea, pero si mañana Ucrania se vuelve parte de Rusia entonces esta información podría ser eliminada.

Herbert Lin, un erudito en seguridad y política cibernética de la Universidad de Stanford, dice que simpatiza con la misión de los archivistas y está de acuerdo en que la posibilidad de un día del juicio final para la información de Ucrania es una preocupación legítima para los historiadores.

“Digamos que los rusos pueden establecer un gobierno pro-Putin y pro-Kremlin y ahora este gobierno dice que hay todo tipo de mierda en Internet ucraniano. No nos gusta que esté allí porque muestra una historia que creemos que no sucedió, y todo es un montón de mentiras y lo vamos a limpiar y las órdenes van a limpiarlo todo. Y luego el miedo es que todas las cosas que deberían haber estado allí, que antes estaban allí bajo un gobierno libre, ahora se han ido, ¿verdad?”

Dijo Lin en una entrevista donde también recomendó a las personas que deseen ayudar a preservar la historia sean conscientes de los riesgos del rastreo basado en eventos: pues para cualquier empresa estadounidense que tenga algo que ver con Ucrania podría ser un objetivo potencial para los ciberataques rusos.

Si bien los archivistas e historiadores de ciberseguridad concuerdan en que los resultados de estos intentos mostrarán una imagen digital fragmentada de cómo es realmente la crisis en Ucrania, se espera que muchos sigan intentando archivar el internet ucraniano con las herramientas disponibles, lo que quizá se vuelva una ventana adicional al pasado para historiadores del futuro.

Algo similar sucede con la información de las organizaciones, hoy queremos recomendar algunas buenas prácticas de ciberseguridad para cuidar tu activo más importante de ciberataques, la información.

El 80% de las vulneraciones de datos son causadas por ciberataques, cuando dejamos entrar a alguien ajeno a nuestros datos.

¿Qué pasaría si los ataques rusos se vuelven globales, tu información está respaldada?

Es muy importante contar, con copias de seguridad tanto de la información de la organización como la de los clientes, el problema es que los volúmenes de datos no dejan de crecer, los equipos de TI no suelen tener el tiempo para dedicarse a supervisar las copias de seguridad, muchas veces se quiere ampliar el control de respaldos sin tener que asignar personal adicional a estas tareas, en Nova estamos conscientes de esta problemática y podemos ayudar a simplificar estas tareas con la solución N‑able™ Backup.

N-able permite adaptarnos a nuestros clientes a medida que estos crecen, así convertir los servicios de respaldo en un factor rentable donde podemos:

  • Proteger los datos de clientes estén donde estén.
  • Minimizar el error humanos y mejorar la eficiencia
  • Permite proporcionar elevados niveles de servicio
  • Anular ataques de ransomware mediante las copias de seguridad almacenadas directamente en la nube
  • Realizar copias de seguridad con más frecuencia y archivar los datos más tiempo sin costos adicionales.

Si quieres saber más de cómo mejorar tu estrategia de respaldos o tienes alguna duda al respecto puedes ponerte en contacto con nosotros nuestros expertos en ciberseguridad te atenderán en breve.

Síguenos en Instagram, Facebook y LinkedIn para más contenido de ciberseguridad y tecnologías de la información.

Consulta la fuente de este artículo aquí.

#NovaRecomienda

Publicado en

 Gracias por asistir a “La verdad de la seguridad empresarial” ¿Te lo perdiste?

webinar Nova

El pasado jueves llevamos a cabo un webinar en colaboración con Licencias OnLine.

En un formato de charla, hablamos de las principales tendencias de ciberseguridad, y cómo pueden estar afectando a las empresas en su día a día sin que lo sepan.

Muchas gracias a todos los asistentes por su participación e interés.

Nuestra intención con este tipo de eventos es ayudar a las empresas a ver más allá de la cotidianidad de su operación y trabajar en conjunto para descubrir esas brechas de seguridad que se esconden en su entorno.

En esta sesión nos centramos en los problemas que sabemos están afectando a la mayor parte de los equipos de seguridad de TI y en cómo resolverlos.

Durante la sesión ofrecimos el apoyo de Nova, para identificar riesgos en el entorno de nuestros invitados, así como optimizar y mejorar sus estrategias de ciberseguridad, aun cuando ya están llevando a cabo acciones en sus organizaciones.

Si no pudiste asistir no te preocupes, contáctanos para mejorar tu estrategia de ciberseguridad.

Te ayudamos a identificar riesgos en tu entorno, sin costo.

¿Estás interesado? no dudes en ponerte en contacto con nosotros.

Síguenos en Instagram, Facebook y LinkedIn para más contenido de ciberseguridad y tecnologías de la información.

#NovaInforma

Publicado en

Riesgos de seguridad en la Nube

cloud security

Hace poco comenzamos una serie de artículos sobre la seguridad en la nube, hoy quiero centrarme en los riesgos de seguridad podemos enfrentar en la nube.

La mayoría de los usuarios ni siquiera son conscientes de que estos problemas existen, lo cual dificulta la optimización de sus estrategias de seguridad, es importantísimo tener claro que una débil seguridad en la nube expone a usuarios y proveedores a amenazas de ciberseguridad comunes, como pueden ser:

  • Ataques externos: Causados por ciberdelincuentes a través de malware, DDoS, Phishing, etc.
  • Amenazas internas por errores humanos: malas configuraciones de controles de acceso de los usuarios.
  • Amenazas a la Infraestructura de nube: interrupciones de los servicios de almacenamiento de terceros, o paros de la operación.

¿Por qué hay riesgos en la nube?

Normalmente una estrategia de ciberseguridad se enfoca en proteger un perímetro, pero los entornos de nube al estar altamente conectados hacen que interfaces de programación de aplicaciones (API) sean ineficientes.

Esto es porque en la nube no existe un perímetro y este es el mayor riesgo, a consecuencia de esto los profesionales de ciberseguridad deben enfocarse en los datos.

La interconexión en si es una puerta que los ciberdelincuentes usan para acceder a la nube a través de credenciales comprometidas o débiles, pueden propagarse fácilmente utilizando otras interfaces mal protegidas, de esta forma localizar datos en diferentes bases y nodos comprometiendo así la información de muchos usuarios, los ciberdelincuentes pueden también ser usuarios de la nube y aprovechar su posición para exportar y guardar la información robada en sus propios servidores.

Otras amenazas latentes surgen por el almacenamiento de datos de terceros y el acceso a través de internet, un corte en la red podría significar no poder acceder a la nube en un momento particularmente importante, también, un problema con la energía puede afectar al Data Center donde se almacena la información y causar incluso la perdida de información de forma permanente.

De hecho, cortes del suministro eléctrico ya han afectado instalaciones de datos en la nube de Amazon, recientemente se perdió la información de varios clientes a causa del daño en el hardware de los servidores que un corte provocó, este es un buen ejemplo de riesgo pues son pocos quienes tienen copias de seguridad locales de todos sus datos y aplicaciones.

Síguenos en Instagram, Facebook y LinkedIn para más contenido de ciberseguridad y tecnologías de la información, estamos seguros de que no querrás perdértelo.

#Novainforma

Publicado en

¿Cómo funciona la seguridad en la nube?

En nuestro artículo anterior te hablamos sobre qué es la seguridad de la nube y los tipos de servicios que encontramos en este tipo de seguridad, ahora nos gustaría ir un poco más profundo, alguna vez te has preguntado ¿cómo funciona la seguridad en la nube? si la respuesta es si, quizá también ha pasado por tu mente la pregunta ¿cuál es la diferencia entre la seguridad de la nube y la seguridad tradicional (On premise)? Pues bien, en este artículo tenemos la respuesta a ambas interrogativas.

Como en cualquier estrategia de seguridad, las medidas tomadas de seguridad en nube tienen como objetivo una solución en caso de algún percance, por ejemplo:

  • Recuperar datos en caso de perderlos
  • Proteger la información y la red ante ciberdelincuentes
  • Evitar errores humanos que puedan causar fuga de datos
  • Y en generar reducir el impacto de cualquier cosa que comprometa la integridad de la información de la organización.

Por ello el principal pilar en seguridad en la nube es la seguridad de los datos, esto implica la prevención de amenazas y para ello existen herramientas y tecnología que permite a los clientes crear barreras entre el acceso y la visibilidad de los datos confidenciales. Un buen ejemplo es el cifrado de datos, una de las herramientas más potentes disponibles en la actualidad, consta de codificar la información para que solo aquellos con permiso puedan acceder a la misma, así si los datos son robados, no pueden leerse de todos modos, otra herramienta clave por su practicidad son las redes privadas virtuales o (VPN).

Otro pilar en seguridad de nube es la gestión de identidades y accesos o IAM por sus siglas en inglés, y no es otra cosa más que la gestión de privilegios de acceso que se ofrece a los usuarios para evitar filtraciones por errores humanos dentro de la organización y por supuesto también restringe el acceso a usuarios no legítimos.

La gobernanza es el siguiente pilar, y se refiere a la aplicación de políticas de prevención, detección y mitigación de amenazas que se aplican en todo entorno empresarial y además son útiles para cualquier usuario.

EL siguiente pilar implica medidas técnicas de recuperación de desastres en caso de pérdida de datos, se conoce como retención de datos o DR por sus siglas en inglés y la continuidad del negocio, abarca copias de seguridad, y sistemas técnicos para garantizar la continuidad de operaciones de la organización.

Y el último pero no menos importante pilar es el cumplimiento legal, que principalmente se centra en la protección de la privacidad del usuario, esto lo establecen los órganos legislativos y toda empresa debe cumplir algunos estándares para poder operar en el mercado.

Entendido esto todavía podría parecer que es una estrategia de seguridad como cualquiera, entonces…

¿Cuál es la diferencia de la seguridad de nube?

Pues bueno, debemos tener en cuenta que la seguridad de nube es la evolución de la seguridad informática on premise y que principalmente las nubes ofrecen una mayor comodidad pues siempre están activas, pero es justo esta característica la que requiere nuevas consideraciones para mantener la información segura. Entonces la seguridad en la nube se distingue como solución de ciberseguridad por los siguientes puntos.

El almacenamiento, las plataformas de nube ayudan a transferir costos de desarrollo del almacenamiento de datos in situ, esto permite ahorrar en mantenimiento de los sistemas y además permite eliminar cierto control que on premise depende de los usuarios.

Velocidad de escalada, La nube resulta extremadamente práctica pues las aplicaciones de nube suelen ser modulares y pueden movilizarse rápidamente, esto permite ajustarse a los cambios empresariales y enfrentar en una mejor posición problemas cuando la exigencia es aplicar mejoras, también reduce el riesgo pues es más fácil mantener al día temas de seguridad.

Otro diferenciador es la proximidad a otros datos y sistemas en red, desgraciadamente en los entornos de nube un solo dispositivo o componente débil se puede explotar para infectar al resto, los entornos de nube exponen la infraestructura a amenazas de muchos usuarios finales que interactúan en la nube, por ello es muy importante tener en cuenta responsabilidad adicional en materia de seguridad de la red tanto para los proveedores como para los usuarios, es necesario ser proactivo en temas de ciberseguridad y tener transparencia en ambas partes.

En el siguiente artículo hablaremos de riesgos de seguridad en la nube, conocer los problemas de seguridad en la nube nos permitirá tomar medidas adecuadas para evitarlos, no te lo pierdas.

Síguenos en Instagram, Facebook y LinkedIn para más contenido de ciberseguridad y tecnologías de la información, estamos seguros de que no querrás perdértelo.

#NovaInfoma

Publicado en

¿Están los endpoints en riesgo de ataques por la vulnerabilidad Log4Shell?

log4j

A finales del año pasado, surgió la vulnerabilidad Log4Shell (CVE-2021-44228), una vulnerabilidad crítica en el paquete de registro Java de Apache Log4j. Explotar Log4Shell a través de mensajes de registro creados puede permitir que un atacante ejecute código en máquinas remotas. El impacto potencial de esta vulnerabilidad es lo suficientemente peligroso para ganar una puntuación de 10.0 basado en la versión 3.x de CVSS y un 9.3 basado en la versión 2.0 de CVSS en términos de riesgo crítico – y es fácil ver por qué.

Esta vulnerabilidad tiene el potencial de tener consecuencias importantes debido al amplio uso de Log4j. Cuando un usuario con malas intenciones logra obtener el control del sistema de mensajería de registros y afectar el proceso Log4j relevante, puede llevar ataques posibles de ejecución remota de código.

Aunque los ataques hasta ahora se han dirigido al nivel del servidor, podría existir una segunda ola de ataques que podría poner en riesgo a los endpoints.

Posibles ataques a dispositivos

Un actor malicioso puede usar la vulnerabilidad para detonar ataques contra los dispositivos de consumidor e incluso automóviles. por ejemplo, demostraciones recientes de varios investigadores han mostrado como los IPhones de Apple e incluso los automóviles de Tesla pueden verse comprometidos a través de simples cadenas de exploits, después de las cuales se pueden realizar comandos y robarse datos sensibles de los servidores del backend que se usan para estas máquinas.

Los servidores continúan siendo los blancos con el nivel de riesgo más alto de ataques de Log4Shell, especialmente los servidores de cara al internet que están usando versiones vulnerables de Log4j ya que son los más fáciles de comprometer, seguidos de los servidores internos que están corriendo versiones vulnerables de Log4j pero también tienen algún tipo de servicio expuesto que puede ser comprometido por los brokers de acceso. Finalmente, es posible que los actores maliciosos podrían comenzar atacar computadoras de escritorio que están corriendo versiones vulnerables de Log4j a través de ciertas aplicaciones en el escritorio.

¿Qué puede hacer?

Recomendamos revisar constantemente si tus equipos son vulnerables, si crees que tu infraestructura está en riesgo te invitamos a utilizar la herramienta de evaluación gratuita que ha creado Trend Micro de escaneo de vulnerabilidades que puede cubrir todos los escenarios posibles – incluyendo ataques en servidores, computadoras de escritorio y endpoints. La herramienta puede ayudar a los usuarios a revisar si están corriendo aplicaciones que tienen una versión vulnerable del Log4j.

Debido a que los exploits de Log4Shell ya se han utilizado de forma maliciosa, debe de ser una prioridad para todos parchar las máquinas vulnerables. La mayoría de los vendors de software han liberado guías para ayudar a sus clientes a llegar a una solución apropiada. Se recomienda ampliamente que los usuarios aplican los parches de sus vendors a la última versión conforme se hacen disponibles. También si lo requieres en Nova podemos hacer un asessment para ti y corregir las brechas de seguridad de tu infraestructura si la herramienta encontró vulnerabilidades y no sabes que hacer, consúltanos.

No olvides seguirnos en Instagram, Facebook y LinkedIn para más contenido de ciberseguridad y tecnologías de la información, estamos seguros de que no querrás perdértelo.

#NovaInforma

Publicado en

Protección en la nube

seguridad de nube

La ciberseguridad abarca un gran número de disciplinas, entre ellas una de las más importantes por su relevancia en la actualidad es la seguridad en la nube, esta disciplina se dedica a proteger los sistemas informáticos en la nube como su nombre lo dice, pero también se encarga de la privacidad de datos, aplicaciones y plataformas virtuales online.

La seguridad en la nube incluye además de la privacidad de datos, la gestión de identidad y acceso (IAM), políticas de prevención, detección y mitigación de amenazas (gobernanza), la continuidad del negocio, planeación de la retención de datos y el cumplimiento de normativas legales vigentes.

Por ello es común que diferentes dependencias y organizaciones realicen evaluaciones y auditorías para asegurar el cumplimiento de las empresas.

En pocas palabras la seguridad de la nube se refiere a cualquier tecnología, protocolo o buena práctica que proteja los entornos informáticos en la nube, ya sea aplicaciones que se ejecutan en nube o los datos almacenados en la misma.

Lo que no muchos saben es que asegurar estos sistemas implica esfuerzos no solo de los proveedores sino también de aquellos que los operan, nos referimos a los clientes, el usuario, pequeñas y medianas empresas.

Aunque es cierto que los proveedores de servicios en la nube cuentan con distintos métodos de seguridad que buscan que los datos de los usuarios se almacenen de forma privada y segura, la seguridad en la nube también es responsabilidad de los clientes, quienes deben de desarrollar una estrategia de seguridad y apoyarse en soluciones para mantenerla saludable.

Los clientes deben configurar los servicios de nube con base en su propia estrategia de ciberseguridad, capacitar a sus empleados para crear hábitos de uso a seguir y asegurarse de que el hardware y las redes de los usuarios finales sean también seguros.

¿Qué debo tener en cuenta para mi estrategia de seguridad en la nube?

Una buena estrategia de ciberseguridad empieza conociendo y comprendiendo perfectamente qué se está asegurando, por lo que es importante tener visibilidad de todo el parque informático así como qué aspectos del sistema se deben administrar, a grandes rasgos debemos tener en cuenta el hardware de los usuarios finales, no solo ordenadores, también dispositivos móviles, IoT, etc, toda la información almacenada, modificada y a la que se accede, aplicaciones  como el correo electrónico, paquetes de productividad, redes físicas, servidores de datos y cualquier plataforma de virtualización de equipos informáticos como software de máquinas virtuales, anfitrionas o máquinas de invitados.

Existen dos puntos de vista principales que se usan para asegurar nube, uno enfocado a los tipos de servicios y uno más enfocado a entornos, se componen de la siguiente manera:

Tipos de servicios en la nube:

  • SaaS (servicios en la nube de software como servicio)
  • Servicios de la nube de terceros
  • Servicios en la nube de plataformas como servicios
  • IaaS (Infraestructura como servicio)

Entornos en la nube:

  • De nubes públicas y privadas
  • Privadas internas
  • De varias nubes
  • De nubes híbridas

El enfoque dependerá del tipo de espacio de nube en el que trabajen los usuarios.

En el siguiente artículo hablaremos de cómo funciona la seguridad en la nube y qué diferencia a la misma de la seguridad tradicional (On premise).

Síguenos en Instagram, Facebook y LinkedIn para más contenido de ciberseguridad y tecnologías de la información, estamos seguros de que no querrás perdértelo.

#NovaInforma

Publicado en

Recomendaciones y medidas contra ataques de día 0

seguridad y protección

Hemos llegado al último artículo de esta serie sobre amenazas de día 0 y en esta ocasión te daremos algunos consejos para defenderte ante estas amenazas.

Medidas de prevención

Los ataques de día 0 suceden sin previo aviso, por ello la mejor estrategia contra ellos es la prevención, estas son algunas medidas que debes tener en cuenta.

Mantén actualizado tu software

La mayoría de los ataques aprovechan vulnerabilidades de software, los parches de seguridad protegen los equipos de vulnerabilidades anteriores del sistema operativo, cuanquier programa o aplicación.

En el caso de los ataques de día 0, los desarrolladores necesitan tiempo para detectar el fallo de seguridad y crear un parche. Mantener el software actualizado reduce el tiempo vulnerable de la infraestructura, lo último que queremos es ampliar el tiempo en el que los ataques pueden ser explotados.

Cree “hábitos” de seguridad

Es importante mantener al equipo de trabajo informado y capacitado para no caer en brechas de seguridad comunes como hacer clics en vínculos sospechosos, anuncios o contenido no legítimo. También es importante compartir solo la información necesaria en internet, se debe tener mucho cuidado con el manejo de datos personales individuales o de la organización, sobre todo cuando se trata de documentación, credenciales bancarias o credenciales de acceso al sistema.

No está de más informarse sobre ataques pasados para saber más del tema.

Use software de seguridad confiable

No existe en el mercado una herramienta que proteja una organización por completo, por ello es clave desarrollar una estrategia de ciberseguridad integral, los ataques de día 0 son especialmente peligrosos porque no hay un método concreto que pueda detectarlos antes de su ejecución, pero si podemos reaccionar de forma inmediata a ellos y mitigar el daño que pueden hacer si tenemos visibilidad, control e información de lo que está sucediendo en nuestros equipos.

Síguenos en Instagram, Facebook y LinkedIn para más contenido de ciberseguridad y tecnologías de la información.

#NovaInforma

Publicado en

Nueva Campaña de Malware llamado “ZLOADER” está infectando a miles de usuarios que utilizan Sistemas Operativos Microsoft

malware

En un reciente ataque llevado a cabo mediante campañas de phishing y el uso de emails que contenían spam, un grupo de cibercriminales está explotando la verificación de firmas digitales de Microsoft, esto con el fin de extraer credenciales de miles de usuarios que utilizan en su día a día algún Sistema Operativo propiedad de Microsoft. El grupo de cibercriminales fueron identificados con el nombre de MalSmoke, los cuales utilizan una variante del Malware Zloader.

Recordemos que el Zloader (también llamado Terdot o DELoader) fue detectado en 2015 en el sector bancario y puede robar credenciales de cuentas en línea e información confidencial.

Los cibercriminales han distribuido el malware de diversas formas, mediante él envió de emails con contenido de spam y campañas de phishing con contenido para adultos, además de experimentar con cargas útiles de ransomware.

La campaña más reciente utilizada para la propagación de este malware consistía en la entrega de un archivo infectado e identificado como “Java.msi”, este se encuentra oculto como un instalador de una herramienta de administración remota llamada Atera.

Al ejecutar este archivo aparentemente legítimo, Atera crea un agente y asigna una dirección de email al equipo infectado y este queda bajo control de los cibercriminales. Posteriormente a la ejecución del archivo, los cibercriminales obtienen acceso remoto al Sistema Operativo permitiéndoles ejecutar cualquier tipo de scripts y carga de archivos infectados. Adicionalmente a esto, los scripts incluidos en el archivo ejecutable realizan una serie de comprobaciones a nivel usuario para verificar los privilegios de administrador, agregar exclusiones a algunas carpetas, así mismo, deshabilitar herramientas como el CMD y el Administrador de Tareas.

Recomendación

La solución Tanium que está disponible en el portafolio de Nova, nos ofrece distintos módulos con los cuales robustecemos la seguridad ante cualquier tipo de ataque o malware.

Tanium ofrece:

Visibilidad: En cada equipo, administrado o no administrado, con datos completos, precisos y en tiempo real en segundos.

Control: Tomar el control desde las mismas instalaciones o desde la nube y verifique el estado de sus equipos en segundos con mínimo impacto en la red.

Velocidad: Contener, reparar o parchar incidentes que surjan día con día en cuestión de minutos y la capacidad de adoptar un enfoque proactivo para la administración de TI.

Confianza: Toda la información que necesita en una sola plataforma.

Además de estos puntos Tanium ofrece caza de amenazas, inventario y descubrimiento de activos, monitoreo de datos sensibles, gestión de riesgos, cumplimiento, parches y gestión de clientes.

Mantener tu infraestructura segura y lista para responder a cualquier campaña de malware es una tarea sencilla con Tanium.

No olvides seguirnos en Instagram, Facebook y LinkedIn para más contenido de ciberseguridad y tecnologías de la información, estamos seguros de que no querrás perdértelo.

Consulta la fuente de esta noticia aquí.

#NovaInforma

Publicado en

3 ataques de día 0 críticos del pasado.

ataque de día 0 zero day

Hemos hablado ya en artículos como este sobre amenazas de día 0 pero el día de hoy te traemos algunos de los ataques de este tipo más sonados en el medio.

Situxnet

Sin lugar a duda, Situxnet es uno de los ejemplos más críticos cuando hablamos de ataques de día 0. Este exploit se hizo famoso de inmediato en sitios de noticias de tecnología en todo el mundo apenas fue descubierto en 2010, y es que gracias a él se explotaron vulnerabilidades en el software de Windows para atacar equipos digitales encargados de la producción de uranio enriquecido, material usado en la creación de armas nucleares.

Hasta el día de hoy no se conoce a los autores, pero todo apunta a las agencias de inteligencia de Estados Unidos e Israel, pues se cree que el objetivo del ataque era frustrar los intentos de Irán para desarrollar armas nucleares.

Felixroot

Se cree que este ataque fue llevado a cabo entre 2017 y 2018, se trató de numerosas vulnerabilidades de día 0 de Microsoft Office, Felixroot es un backdoor de espionaje que se usó contra Ucrania, accediendo a información personal de varios miembros del gobierno de este país, aunque se sospecha del gobierno ruso, nunca se supo quien fuese el autor de este ataque, a Microsoft le tomó toda una semana el desarrollar un parche que funcionara al 100%, por lo que la fuga de información fue gigantesca.

El ataque al Comité Demócrata Nacional de Estados Unidos

Este es quizá el ataque de día 0 más famoso, fue llevado a cabo en 2016, hackers rusos explotaron diversas vulnerabilidades de programas como Flash y Java para hackear al DNC, obteniendo emails probados enviados y recibidos por conocidas figuras públicas, entre estas la entonces candidata a la presidencia Hilary Clinton.

La información que se obtuvo del ataque incluía nombres de donantes del DNC y fue publicada en WikiLeaks y en DCLeaks.

Aunque estos ataques famosos tuvieron objetivos específicos, la realidad es que estas vulnerabilidades pueden aprovecharse para extorsionar organizaciones más pequeñas de todo tipo, a continuación, algunos otros ejemplos de ataques de día 0:

  • SandCat, una entidad sospechosa del estado de Uzbekistán, ha utilizado varios exploit contra países del Medio Oriente.
  • Investigadores chinos han creado un exploit conocido como CVE-2010-07-03 y los han usado en ataques dirigidos desde 2016
  • En 2017 los grupos rusos APT28 Y TURLA aprovechan varias vulnerabilidades de día cero en productos de Microsoft
  • La plataforma Zoom informó que su aplicación en Windows 7 sufrió un ataque de día cero
  • La empresa Google reportó que los ataques de días zero durante un mes son equivalentes a los últimos dígitos del año transcurrido

Cómo protegerse de estas amenazas

Como hemos mencionado en artículos anteriores lo verdaderamente peligroso de un ataque de día 0 es que se desconoce la vulnerabilidad del sistema, por lo que es complicado prevenirlos, aun así existen medidas preventivas para este tema como actualizar regularmente los endpoints de su organización, eliminar software obsoleto de sus equipos y mantener protegida su infraestructura con una estrategia de ciberseguridad por capas; hoy en día no basta con un antimalware y un firewall, se requiere una correcta gestión de los activos de su parque informático dentro y fuera de su organización, escaneos de vulnerabilidades, protección al correo y la nube, por mencionar algunos.

​Síguenos en Instagram, Facebook y LinkedIn para más contenido de ciberseguridad y tecnologías de la información.

#NovaInforma