Ciberataque

Iniciativa No More Ransom

2016-07-27T18:06:58+02:00julio 27, 2016|Seguridad|

No More Ransom es la iniciativa que ha surgido entre Kaspersky Lab, Intel Security, la Europol y la Policía Nacional Holandesa para luchar en contra del ransomware. El ransomware es un tipo de malware que bloquea la computadora de la víctima y cifra su información para después exigir el pago por el acceso al dispositivo y sus datos.

A raíz de la iniciativa surge el sitio web www.nomoreransom.org cuyo objetivo es proporcionar recursos a las víctimas del ransomware. Los usuarios encontrarán información acerca de cómo protegerse contra este tipo de malware y también algunas herramientas que le pueden ayudar a recuperar sus datos una vez bloqueados.

El mensaje que se resalta en el portal web es no pagar el rescate que exigen los atacantes, ya que eso únicamente les incentiva a continuar con este delito. Además de que no existe garantía alguna de que realmente se obtendrá la clave para descifrar su información.

El proyecto No More Ransom ha sido concebido como una iniciativa no comercial que une a instituciones públicas y privadas bajo un mismo objetivo, combatir el ransomware. Dicho proyecto se encuentra abierto para recibir la cooperación de más empresas y organismos policiales de otros países y regiones.

Al anunciar la iniciativa, Wil van Gemert, director adjunto de Operaciones de la Europol destacó: “Desde hace algunos años, el ransomware se ha convertido en una preocupación en la Unión Europea. Es un problema que afecta de igual manera a ciudadanos y empresas. Iniciativas como esta, demuestran que la unión es el camino a seguir para una exitosa lucha contra los ciberdelincuentes”.

Le invitamos a ponerse en contacto con nosotros para proveerle más información respecto a las herramientas de tipo corporativo que brinda Kaspersky Lab para mantener la seguridad de sus equipos, así como los casos de éxito de nuestros clientes.

Correo electrónico malicioso

2016-07-24T16:30:32+02:00julio 24, 2016|Internet, Seguridad|

El correo electrónico se mantiene como una de las herramientas más utilizadas en el entorno empresarial. A eso se debe que sea uno de los medios más explotados por los atacantes para tratar de infectar a los equipos.

Aunque el sector financiero es el principal atacado, todas las industrias se han visto afectadas. Incluso la Casa Blanca, el Pentágono o empresas tecnológicas de servicios y productos de seguridad han sido comprometidos por este medio.

Algunas de las técnicas y recursos más habituales de los atacantes en el envío de correo electrónico malicioso:

Ficheros con macros. Los atacantes logran ejecutar código malicioso en el equipo de las víctimas al incluir macros en un documento de Office. Esta técnica se utilizó para comprometer equipos de la red de distribución eléctrica en la zona oeste de Ucrania, a través de un documento en Excel remitido por mail a uno de los trabajadores de la compañía.

Aunque las versiones recientes de Office impiden por defecto la ejecución de macros, los atacantes mediante el uso de ingeniería social logran que los usuarios las habiliten e incluyen las instrucciones necesarias para ello.

Ficheros ejecutables con íconos. Para hacer creer al usuario que el fichero adjunto es legítimo, el atacante crea un archivo ejecutable pero le agrega un ícono de algún otro software de uso común, por ejemplo, Office o Adobe Acrobat. Si el usuario tiene activa la opción “Ocultar las extensiones de archivo para tipos de archivos conocidos” no verá la extensión .exe y pensará que se trata de un archivo PDF legítimo.

Este truco es utilizado en el envío de correo electrónico que informa la generación de una nueva factura con un fichero adjunto comprimido, cuyo contenido será un archivo ejecutable con el ícono de Adobe.

Durante 2015, empresas en Dinamarca relacionadas a la arquitectura fueron víctimas de emails que incluían una URL que apuntaba a un recurso en Dropbox. Cuando el usuario hacía clic en el enlace, descargaba un ejecutable con ícono de AutoCad. Al utilizar un servicio legítimo como Dropbox los atacantes logran evadir algunas soluciones de seguridad que validan las URL de los correos con ciertas listas de reputación.

Uso de RLO. Debido a que una de las recomendaciones de seguridad es observar la extensión de un archivo antes de abrir cualquier adjunto recibido por correo, los atacantes suelen hacer uso de la técnica “Right to Left Override”. Se llama así en referencia al carácter Unicode RLO, diseñado para soportar lenguajes escritos de derecha a izquierda como el árabe. Ahora es aprovechado para invertir el orden de visualización de los últimos caracteres en el nombre de un archivo adjunto con su extensión. Así por ejemplo el fichero con el nombre factura_pdf.exe se convertirá en factura_|exe.pdf

Un usuario puede creer que se trata de un archivo legítimo revisando únicamente la extensión .pdf. Pero además, si se asigna el ícono de Adobe Acrobat al ejecutable el engaño será aún más creíble.

Uso de espacios para ocultar la extensión. Al utilizar espacios en blanco justo antes de la verdadera extensión en el nombre de un archivo, es probable que el usuario no perciba los tres puntos que indican que la longitud del nombre de archivo es mayor a la que se visualiza en el explorador de archivos.

Usurpación del remitente. Los atacantes tratarán de obtener la mayor información posible acerca de sus víctimas, como la lista de contactos más habituales de un empleado o las alianzas que tiene la organización. En ocasiones parte de la información se encuentra accesible directamente desde el sitio web de la empresa, las redes sociales, foros, plataformas de colaboración, etc. Con ello, un atacante intentará usurpar la identidad de un contacto habitual, alguna empresa en colaboración o un proveedor, para enviar un archivo malicioso y conseguir el acceso a uno de los equipos.

Para usurpar la identidad del remitente pueden hacer uso de dominios muy similares al original. Por ejemplo, para facturacioncliente.com podrían intentar utilizar facturacionclientes.com o facturacion-cliente.com entre muchos otros. Incluso podrían simular el aspecto de una factura original para lograr hacer creer al receptor que se trata de un mensaje real.

En algunos casos, los atacantes lograrán suplantar la cuenta y dominio reales del remitente si éste carece de las medidas de seguridad pertinentes. Se puede considerar  este método como el más efectivo ya que incrementa las posibilidades de que la víctima abra un correo de alguien que conoce.

Enlaces maliciosos. Es una de las técnicas más utilizadas para conseguir la ejecución de código en un equipo o la obtención de información de la víctima.

Si el objetivo es obtener los datos bancarios de los usuarios, el correo electrónico utilizado intentará usurpar la identidad de determinado banco. El enlace que se incluya en el mensaje podría ser un enlace real del banco pero que en realidad, cuando el usuario haga clic en él será redirigido a una página maliciosa con aspecto similar o igual a la del banco en cuestión. La página solicitará las credenciales o datos de usuario bajo alguna justificación para enviarlos a los atacantes.

Cuando el objetivo es infectar el equipo del usuario, es común que se utilice un enlace que apunte a un fichero alojado en algún servidor y que al dar clic en el mismo, inicie su descarga. En algunos casos se hace uso de servicios legítimos como OneDrive o Dropbox para evadir las herramientas de seguridad que verifican los enlaces.

Una de las tecnologías más sofisticadas para infectar a un usuario, sin necesidad de descargar o ejecutar algo, son los Web Exploit Kit. Los cuales permiten identificar vulnerabilidades en el navegador o en sus plugins para ejecutar el código malicioso. Un usuario recibe un mail en el que mediante ingeniería social se le anima a dar clic en una URL, se le redirige a un servidor TDS (Traffic Direction System) para valorar si la víctima es de interés. Si es así, se le redirigirá a un Server Exploit Kit que analizará la versión del navegador y sus plugins. Si alguno de ellos es vulnerable, el Server lanzará el Exploit para ejecutar el código y descargar el malware. Cabe destacar que el proceso se realiza de forma transparente al usuario. Algunos Exploits Kits tienen la capacidad de ejecutar el código directamente en memoria sin tener que escribir directamente al disco. De esta manera evitan las herramientas de seguridad que solo intervienen cuando existe la escritura en disco.

Qué hacer al respecto

Después de analizar las técnicas más utilizadas por los atacantes, es necesario tener en cuenta las siguientes recomendaciones con la finalidad de evitar ser víctima de este tipo de ataques:

Los correos con un patrón fuera de lo común deben despertar la sospecha del usuario. Por ejemplo, al recibir un email de una compañía de confianza que realice una solicitud poco habitual y que adjunta algún archivo o enlace. Se recomienda que antes de abrir cualquier adjunto se contacte con el remitente mediante una vía alterna para corroborar si el mensaje recibido es legítimo.

Comprobación de los archivos, antes de abrir cualquier archivo desde el correo, verifique la extensión y el nombre completo del mismo. Recuerde que los atacantes incluyen íconos de las aplicaciones  más utilizadas y ocultan las verdaderas extensiones de los archivos. Los archivos ejecutables no solo tienen la extensión .exe, también pueden ser .com, .cmd, .cpl, .paf, .js, .jse, .msi, .msp, .mst, .vbe, .vbs, .pscl entre muchos otros.

El usuario no debe habilitar el uso de las macros, independientemente de lo que indique el documento recibido. En realidad es poco habitual su uso y en caso de ser legítimo el documento, el bloqueo de las mismas no debe imposibilitar ver el contenido.

No confíe únicamente en el nombre del remitente, se debe comprobar que el dominio del correo recibido es de confianza. Incluso, se pueden obtener los datos de creación y actualización del dominio mediante los servicios en línea como whois. También se puede utilizar www.virustotal.com para analizar las URL mediante ciertos servicios de seguridad. Otra alternativa es realizar una búsqueda del dominio en cuestión, acompañado por los términos phising o malware, con el objetivo de obtener referencias que puedan identificar el dominio como fraudulento.

Después de verificar el tipo de extensión de un archivo, los usuarios no deben ejecutarlo si ésta es extraña o desconocida. También se recomienda el uso de aplicaciones de lista blanca. El objetivo de estas listas es la protección contra programas maliciosos permitiendo únicamente la ejecución de los explícitamente autorizados.

Actualizar el sistema operativo y las aplicaciones, para reducir significativamente la exposición a ataques mediante los Web Exploit Kit, que tienen la capacidad de comprometer un equipo con solo visitar un enlace y sin necesidad de descargar o ejecutar un fichero, al aprovecharse de ciertas vulnerabilidades.

Seguridad de las comunicaciones vía email

El proceso de enviar un correo electrónico comprende numerosos pasos en los que se involucran diversas tecnologías y servicios. De manera general, se recomienda no utilizar SMTP sin ninguna extensión de seguridad, utilizar IMAP o POP sobre SSL/TLS para la descarga del correo y si el contenido es sensible se recomienda el cifrado de datos.

Además recuerde que:

  • Se deben utilizar contraseñas robustas para el acceso al correo electrónico, así como renovarlas periódicamente. Si es posible, utilice doble autenticación.
  • El usuario no debe dar clic en ningún enlace que solicite datos personales ni bancarios. Los bancos nunca solicitan credenciales o datos personales del cliente a través del correo electrónico.
  • Se debe evitar dar clic directamente en cualquier enlace desde el propio correo. Si el enlace es desconocido se recomienda buscar información en motores de búsqueda antes de acceder.
  • Cuando se accede al correo electrónico mediante la versión web, se recomienda no almacenar las credenciales en el navegador, ya que pueden ser recuperadas por ciertos tipos de malware. Antes de cerrar el navegador, asegúrese de cerrar la sesión de la cuenta de correo.
  • Si al enviar un mensaje a varias personas, no desea que los destinatarios puedan ver el resto de las direcciones, utilice la función con copia oculta (CCO).
  • En caso de recibir un correo sospechoso se debe informar inmediatamente al responsable de seguridad de la organización.

xDedic, mercado de servidores hackeados

2016-06-16T11:48:22+02:00junio 16, 2016|Internet, Seguridad|

Una investigación conjunta entre Kaspersky Lab y European ISP revela la existencia del foro global xDedic, donde los hackers pueden comprar y vender acceso a servidores comprometidos por tan solo seis dólares. El mercado xDedic cuenta con 70,624 servidores de Protocolo de Escritorio Remoto (RDP) hackeados para la venta.

Los servidores afectados albergan o proporcionan acceso a sitios web y servicios de consumo, cuentan con software para correo directo, contabilidad financiera, procesamiento de punto de venta (PoS) entre otros. Además de ser utilizados para atacar la infraestructura de los propietarios de los servidores, también pueden tomarse como plataformas de lanzamiento para otros ataques.

xDedic funciona de manera simple pero exhaustiva, los hackers irrumpen en los servidores, a menudo a través de ataques de fuerza bruta, y traen las credenciales a xDedic. Los servidores hackeados se revisan para su configuración RDP, memoria, software, historial de navegación y más. Después se añaden a un inventario en línea que incluye el acceso a servidores de redes gubernamentales, corporaciones, universidades, servidores etiquetados para acceso a sitios web o de alojamiento de sitios web y servicios como juegos, apuestas, citas, compras en línea, banca en línea, redes de telefonía móvil, proveedores de Internet y navegadores. Una vez concluida la campaña, los atacantes pueden poner nuevamente a la venta el acceso al servidor y comenzar nuevamente el proceso.

México entre los principales países atacados con malware

2016-05-30T12:04:20+02:00mayo 30, 2016|Internet, Seguridad|

México es un blanco potencial para ser atacado por malware debido a la cantidad de dispositivos que no cuentan con una protección adecuada y al tamaño de su población.

Las cifras de los ataques cibernéticos registrados por Fortiguard Labs hablan acerca de la importancia y el crecimiento de este problema. Cada minuto:

  • Se interceptan 21,000 correos spam.
  • Las redes resisten 470,000 ataques.
  • Se neutralizan 95,000 programas maliciosos.
  • Se bloquean 160,000 sitios maliciosos.

Entre el primer trimestre de 2015 y el primero de este año, los ataques a dispositivos móviles se incrementaron 661% tan sólo en México. “Estos ataques son muy difíciles de detectar, ya que utilizan programas maliciosos que no dejan rastro y desaparecen cuando han robado o destruido la información”.

La actualización en el mundo digital es sumamente vertiginosa, todo cambia cada día e incluso minuto a minuto. Lo mismo ocurre con los ataques del cibercrimen. Ante ese panorama, Derek Manky, comparte cinco predicciones donde los cibrecriminales enfocaran sus esfuerzos:

Aumento de ataques maquina a máquina. Cada vez hay más dispositivos  conectados y por eso los cibercriminales, al atacar a un solo dispositivo, pueden conectarse a muchos otros. Las terminales o las cajas de pago en puntos de venta se encuentran entre los principales objetivos de ataque.

Ataques de «gusanos sin cabeza». El día de hoy existen 15 millones de amenazas a dispositivos móviles, pero se espera que los gusanos sin cabeza –programas maliciosos– ataquen cada vez más a dispositivos  –como smartwatches o dispositivos médicos–, elevando esa cifra a 50 o 60 millones.

Jailbreak de Nube. Al incrementarse la adopción de la Nube y la virtualización, es necesario proteger de forma adecuada el hypervisor (plataforma que permite aplicar diversas técnicas de control de virtualización para utilizar, al mismo tiempo, diferentes sistemas operativos), ya que cuando los ciberdelincuentes irrumpen en él, pueden tomar todos los sistemas operativos de la red.

Ghostware. Cada vez se ven más  programas maliciosos fantasma que infectan una red de computadores, roban información o la destruyen, y después limpian sus huellas, al eliminarse y desaparecer sin dejar rastro.

Programas maliciosos de «dos caras». Virus que se instalan en los dispositivos como aplicaciones amigables, estudian el entorno para saber en qué momento atacar.

Le invitamos a ponerse en contacto con nosotros para proveerle más información respecto al apoyo que Adaptix Networks puede brindar a su empresa en temas de Seguridad, así como los casos de éxito con nuestros clientes.

Proteger nuestras redes ante los ciberataques

2016-05-29T16:32:08+02:00mayo 29, 2016|Internet, Seguridad|

El experto en ciberseguridad John Lyon alerta de la importancia de comenzar a defender los sistemas o después, será demasiado tarde.

Recientemente, el diario El País ha publicado una entrevista realizada a John Lyons, fundador de la Alianza Internacional de Ciberseguridad, quien calcula que una empresa debería destinar el 15% de su gasto en tecnología para proteger redes y sistemas ante ciberataques. No se está cumpliendo, por lo que declara: «El panorama es para asustarse, en menos de cuatro años, el Internet de las cosas habrá estallado y se tendrán alrededor de 200.000 millones de dispositivos conectados a la Red. Es como si cada grano de arena tuviera su propia dirección IP. Y todo, absolutamente todo, podrá ser víctima de un ataque».

El principal problema en ciberseguridad al que se enfrentan los gobiernos es que no tienen expertos para defender sus redes. En el pasado, los países contaban con grandes fuerzas militares para defender sus territorios. Ahora no hay límites porque la guerra se ha trasladado al ciberespacio. La ciberseguridad se debe convertir en una prioridad nacional para los gobiernos.

Un país tiene muchas cosas que defender y es muy difícil tener todos los frentes cubiertos; en cambio, los adversarios, los que amenazan, son mejores atacando que nosotros defendiéndonos. También, son más rápidos desarrollando nuevas tecnologías y técnicas. Estamos dirigiéndonos a una sociedad cada vez más interconectada pero también más vulnerable y el incremento del número de dispositivos conectados atraerá amenazas cada vez peores.

En este momento no se está prestando suficiente atención a la ciberseguridad, a nadie le interesa o le importa. Los gobiernos deben dar el primer paso. Es normal que la ciberseguridad no resulte algo muy atractivo para los políticos y en consecuencia, no se destinen fondos para protegernos. Y aunque la educación, la sanidad o la lucha contra la violencia sean temas muy importantes, se volverán innecesarios e inmateriales si no invertimos ahora en ciberdefensa. Porque en los próximos años estaremos perdiendo tanto dinero con los ataques a nuestros sistemas que se perderá la habilidad para defendernos. Por ejemplo, cada vez estamos más involucrados con nuestra salud y llevamos más dispositivos para controlar nuestro estado. Los médicos desean conocer de forma directa e inmediata cómo van sus pacientes. En un tiempo, quizás en cinco años, podremos registrar todo sobre nuestra condición médica y transmitirla. Si eres diabético podrás saber si necesitas tomar menos o más azúcar en cada momento. Esta interacción puede conllevar muchos beneficios por una parte, pero también tiene sus propias amenazas. ¿Qué va a pasar cuando todos esos dispositivos estén conectados a Internet? Dentro de poco la preocupación ya no será si has perdido dinero en tu cuenta de banco, sino si un hacker puede hacer que se detenga tu corazón.

10 pasos para protegerse del Ransomware

2016-05-20T12:02:40+02:00mayo 20, 2016|Internet, Seguridad|

En días recientes, diversas publicaciones han informado de una serie de empresas que han sido afectadas por ransomware. Pero con un poco de información, se puede reducir significativamente el riesgo y el impacto sobre las organizaciones.

¿Qué es el ransomware? Es un tipo de malware que infecta dispositivos, redes y centros de datos, impidiéndoles ser utilizados hasta que el usuario u organización paga un rescate. El ransomware ha existido al menos desde 1989, cuando el troyano «PC Cyborg» cifraba los archivos del disco duro y pedía el pago de USD $189 para desbloquearlos.

El impacto de este tipo de malware es difícil de calcular, sin embargo, un informe sobre la campaña del ransomware Cryptowall v3, publicado en octubre de 2015 por Cyber Threat Alliance, estima que su costo fue de aproximadamente 325 millones de dólares. Dicha estimación sirve para darse una idea de lo cada una de las campañas de ransomware puede ser capaz de alcanzar, así como de su impacto de manera general.

El ransomware trabaja de varias maneras, por ejemplo, Crypto puede infectar un sistema operativo para que un dispositivo sea incapaz de arrancar. Otros cifran una unidad o un conjunto de archivos. Algunas versiones utilizan un cronómetro y comienzan la eliminación de archivos hasta que un rescate haya sido pagado. Existen todo tipo de exigencias para obtener el pago y poder desbloquear o liberar el sistema, archivos o datos.

El 31 de marzo de 2016, el U.S. Cyber Emergency Response Team y el Canadian Cyber Incident Response Centre advirtieron de manera conjunta sobre el tema después de varios ataques de alto perfil en hospitales. De acuerdo con esta alerta, los usuarios atacados reciben un mensaje como los siguientes:

  • “El ordenador ha sido infectado con un virus. Haga clic aquí para resolver el problema”.
  • “El ordenador se ha utilizado para visitar sitios web con contenido ilegal. Para desbloquear el equipo, deberá pagar una multa de $100”.
  • “Todos los archivos de su equipo han sido cifrados  y deberá pagar este rescate dentro de las siguientes 72 horas para recuperar el acceso a sus datos”.

Los siguientes son 10 puntos para la protección contra los efectos de ransomware:

  1. Desarrollar un plan de respaldo y recuperación. Realizar copias de seguridad de los sistemas de manera regular y mantenerlas en algún dispositivo sin conexión.
  2. Utilizar herramientas profesionales de correo electrónico y seguridad web que analicen los archivos adjuntos y páginas web en busca de malware, y bloquean los anuncios potencialmente vulnerables y los sitios de medios sociales que no tienen ninguna relevancia empresarial. Deben incluir la funcionalidad de sandbox, para que los archivos nuevos o no reconocidos sean ejecutados y analizados en un ambiente seguro.
  3. Mantener sistemas operativos, dispositivos y software actualizado.
  4. Asegurar que el antivirus de la red y herramientas antimalware se están ejecutando con las últimas actualizaciones.
  5. Hacer uso de listas blancas de aplicaciones, lo que impide descargar y ejecutar aplicaciones no autorizadas.
  6. Segmentar la red, de esta forma una infección no se propagará fácilmente.
  7. Establecer y hacer cumplir la asignación de privilegios para que el menor número de usuarios puedan afectar las aplicaciones críticas de negocio, datos o servicios.
  8. Establecer y hacer cumplir una política de seguridad BYOD para inspeccionar dispositivos y en caso necesario bloquear el acceso a aquellos que no cumplen con los estándares para la seguridad.
  9. Implementar herramientas de análisis forense, las cuales permitirán después de un ataque identificar de dónde provino, el tiempo que ha permanecido, si ha sido retirado de todos los dispositivos y asegurarse de que no volverá.
  10. No depender de los empleados para mantener la seguridad. Aunque es importante su capacitación para evitar la descarga de archivos adjuntos infectados o dar clic en enlaces del correo electrónico, los seres humanos son el eslabón más vulnerable de la cadena de seguridad.

Si al recibir un ataque se cuenta con la copia de seguridad, después de verificar que todo se encuentra correctamente se podrá continuar con la operación de la organización de forma normal. Otras cosas a considerar son las siguientes:

  • Informar del ataque, una rápida búsqueda en línea le guiará al sitio para reportar los delitos informáticos en región o país.
  • Pagar el rescate no es garantía de recuperar su información. Además, el desencriptar sus archivos no significa que la infección por malware se haya eliminado.
  • Tener un plan para saber qué hacer mientras sus sistemas no se encuentren disponibles.

Ahora, más que nunca, la seguridad es parte integral del negocio. Asegúrese de que está colaborando con expertos que entienden que la seguridad es más que un dispositivo. Es un sistema de tecnologías altamente integradas y de colaboración, combinada con una política eficaz y un enfoque de ciclo de vida de preparar, proteger, detectar, responder y aprender.  Las soluciones de seguridad necesitan compartir la información con el fin de detectar y responder eficazmente a las amenazas siendo capaces de adaptarse dinámicamente a medida que las nuevas amenazas se descubren.

Ransomware en Backblaze

2016-05-19T10:44:47+02:00mayo 19, 2016|Internet, Seguridad|

Hace unos días, la empresa norteamericana Backblaze publicó su reciente experiencia de ransomware. Anteriormente en el artículo ¿Qué es el ransomware? mencionamos que se trata de un mecanismo digital de extorsión, generalmente mediante el cifrado de la información.

En la publicación de Backblaze se detalla cómo una de sus empleadas del departamento de contabilidad al abrir un archivo adjunto en un correo electrónico (aparentemente del correo de voz), desencadenó una infección por ransomware en su sistema. Así, mientras “Elli” terminaba de empacar sus cosas para irse a casa, cada uno de los archivos en su PC fueron codificados. Un momento después, notó algo extraño, la imagen de fondo en el escritorio había desaparecido, sustituyéndola una imagen genérica de un campo de flores. Abrió una carpeta, lo que esperaba ver era lo siguiente:

caso-backblaze-1

Pero esto es lo que realmente vio:

Al no comprenderlo, “Elli” llamó al departamento de TI. Después de revisar el equipo, el encargado preguntó acerca de las acciones más recientes en el equipo, por lo que ella le indica el correo electrónico abierto en la esquina de la pantalla. El encargado preguntó acerca del archivo adjunto, cuando ella le confirma que lo abrió, le informa que el equipo ha sido atacado por un ransomware, así que lo desconecta de la red inalámbrica, desconecta el cable de red, apaga el equipo y desconecta el disco duro. Posteriormente la unidad infectada fue puesta en una sandbox como medida de seguridad para evitar que otros equipos en la red fueran infectados.

Cuando el ransomware procesa los archivos del equipo, incluye algunos archivos “de ayuda”. En los que se dan las indicaciones para que el usuario pueda recuperar sus archivos mediante el pago del rescate.

“Elli” no pagó el rescate, debido a que sus archivos se recuperaron de una copia de seguridad. Sin embargo, es importante mencionar que las diferentes versiones de ransomware pueden complicar el proceso de recuperación de datos. Algunos ataques retrasan su inicio, esperando un periodo de tiempo hasta una fecha específica antes de iniciar el proceso de cifrado. En ese caso, la copia de seguridad tendría que ser capaz de retroceder hasta una fecha previa a la infección para hacer la recuperación de archivos. Algunos ataques intentarán cifrar otras unidades a las que se tenga acceso, por ejemplo la unidad de copia de seguridad local. Por esta razón, es importante una copia de seguridad interna y una externa.

Ingeniería social

Usualmente los atacantes utilizan la ingeniería social para lograr sus objetivos. La ingeniería social se puede definir como la «manipulación psicológica para la realización de acciones o divulgación de información confidencial». En este caso hubo varios trucos:

  • El correo electrónico tenía en el destinatario el nombre completo de la empleada.
  • Era normal en su oficina recibir mensajes de correo electrónico con archivos adjuntos desde el sistema de correo de voz.
  • Era normal en su oficina recibir mensajes desde QuickBooks (software de contabilidad).

Es difícil saber si ella fue solo una de las millones de personas atacadas por ransomware o, como es más probable, “Elli” fue víctima de un ataque dirigido. Los ataques dirigidos, también conocidos como spear phishing, requieren que el atacante obtenga información detallada sobre el blanco para que el correo electrónico parezca lo más auténtico posible. Encontrar la información necesaria para crear un correo electrónico creíble es tan fácil como ingresar al sitio web de la empresa y hacer un poco de investigación en sitios sociales como Facebook, LinkedIn, Google +, entre otros.

Sería fácil culpar a “Elli” por permitir que el sistema se infectara, pero hubo varios errores. Ella estaba usando un navegador para acceder a su correo electrónico en la nube, pero el sistema de correo no bloqueó el mensaje que contenía el malware. Ni el navegador, ni el sistema de correo le advirtieron que el archivo ZIP adjunto contenía un archivo ejecutable. Por último, tampoco el antivirus no detectó nada al descargar y descomprimir el archivo de malware.

El número de ataques ransomware se incrementa de manera constante, también el uso de la ingeniería social por parte de los atacantes es cada vez más frecuente, con lo cual la posibilidad de convertirse en víctima de un ataque será mayor. Además de las medidas de seguridad preventivas, es necesario tomar acciones para identificar y responder cuanto antes a un ataque para evitar sus terribles consecuencias.

Detrás del Firewall, Fortinet

2016-05-18T16:31:00+02:00mayo 18, 2016|Internet, Seguridad|

Fortinet, líder global en seguridad de redes, recientemente ha publicado su  2016 CTAP: Threat Landscape Report, en el cual revela información de las amenazas actualmente existentes en las organizaciones. Los datos para su elaboración se obtuvieron de clientes Fortinet, así como de potenciales clientes.

Algunos puntos que se destacan son los siguientes:

De manera global existieron 32.14 millones de intentos de ataque, en promedio 81,000 por cada organización. El malware se propaga principalmente a través de dos vectores clave, el correo electrónico y el tráfico web. Se registraron intentos de infección a través de plataformas de mensajería instantánea pero en una escala mucho más pequeña.

Se detectaron 71 diferentes variantes de malware, la actividad botnet es todavía dominante y una significativa preocupación para los equipos de seguridad. Nemucod es un caso destacado, debido a que en la última parte de 2015 fue utilizado para distribuir versiones más recientes de ransomware como Teslacrypt y Cryptolocker. En una de cada seis organizaciones fue detectado algún botnet.

Los ataques fueron dirigidos en un 44.6% a la banca y la industria financiera, un 27.4% a organizaciones educativas y un 10.6% a instituciones de salud.

fortinet_datos_seguridad

El tráfico en redes sociales en las empresas son una preocupación común y muy real para los administradores de seguridad, Facebook representa alrededor del 47% de todo este tráfico.

fortinet_productividad

En el caso del audio/video en streaming, el 42% lo conforma YouTube y representa más del 75% en combinación con otros medios como Netflix y Hulu. Es importante destacar que el tráfico de video, aunque no es malicioso en sí mismo, el impacto en el rendimiento de la red corporativa puede ser sustancial, ralentizando otras aplicaciones y necesidades. De hecho, más del 25% del tráfico de red llega a ser utilizado para el uso de redes sociales y audio/video en streaming.

fortinet_performance

Una manera de administrar el tráfico de la red y controlar el acceso web es mediante el uso del firewall. Específicamente en el caso de los dispositivos Fortinet, a través de perfiles de usuario, categorías de contenido y políticas se permite o restringe el acceso a los usuarios. Le invitamos a ponerse en contacto con nosotros para proveerle más información respecto al apoyo que Adaptix Networks puede brindar específicamente a su empresa mediante las soluciones y dispositivos Fortinet, así como los casos de éxito de nuestros clientes.

Ciberataques y la reputación de las empresas

2016-05-18T11:02:59+02:00mayo 18, 2016|Seguridad, Virtualización|

Los ejecutivos de alto nivel se preocupan acerca del mayor peligro de los ataques cibernéticos: el daño a la reputación de la empresa, y con ello la pérdida de confianza de los clientes. Esto de acuerdo con un estudio realizado en enero y febrero de 2016 por The Economist Intelligence Unit (EIU), patrocinado por VMware. Los 282 encuestados pertenecen a grandes empresas (con ingresos entre 500 y 10,000 millones de dólares) ubicadas en 16 países.

Los incidentes de seguridad aumentaron un 38% el año pasado de acuerdo con la empresa de consultoría PwC. Estos ataques son cada vez más sofisticados y exitosos, también el número y la variedad de amenazas se incrementan.

Debido a que la marca de la empresa es el activo más valioso, cuando se ve comprometida es algo difícil de solucionar. Leslie Gaines-Ross, jefa de estrategias de reputación en Weber Shandwick menciona que «Puede tomar décadas construir su reputación, pero de pronto tiene lugar un ataque y la reputación desaparece”. Debido a que «el cliente considera que se trata de una empresa sin control, hay un efecto de halo negativo más allá del incidente, incluso llegando a cuestionar la calidad de sus productos”.

El ataque en sí es solo el principio. Las empresas que en los últimos cinco años fueron víctimas de los diez principales ataques cibernéticos se han visto involucradas en litigios con accionistas o clientes. Más allá de los daños reconocidos, estos eventos altamente publicitados se mantienen en las noticias y en la conciencia pública.

La alta dirección no solo se preocupa por las consecuencias del ataque, sino también acerca de la probabilidad de que ocurra. Más de un cuarto de los ejecutivos y el 38% del equipo de TI, creen que habrá un ataque severo y exitoso en su empresa dentro de los próximos tres años. Más del 60% de los ejecutivos cree que la incidencia de ataques a datos relacionados con el cliente aumentará durante el próximo año. Hay un mercado activo para la información de las tarjetas de crédito y débito, números de seguridad social, información de salud, entre otros datos, lo cual incentiva su robo.

Las empresas deben contar con un plan para cuando un ataque suceda, ya que en medio de la crisis no se encontrarán las respuestas necesarias. Estas son algunas de las principales recomendaciones:

  • Tener una defensa basada en arquitectura flexible permitiendo notificar que el incidente ha tenido lugar para identificar, mitigar y contener el ataque. Si se puede detectar y tratar a tiempo, se puede reducir la gravedad.
  • Contar con un plan de gestión de crisis que involucre a las partes interesadas, de tal manera que trabajen juntos para proteger la marca.
  • Revelar los detalles del incidente a sus clientes. De acuerdo a Gaines-Ross «Tendrá más de una crisis al no ser transparente. No estar abierto en las primeras 24 horas, será peor debido a que incrementa la desconfianza». Después de dar a conocer el último bit de información, se trabajará en la reconstrucción de la marca.
  • No se limite a hablar sobre el problema, también se debe hablar de la solución. Es necesario dejar en claro lo que pasó, pero también tomar el control del diálogo explicando lo que está haciendo para solucionar el problema. «Sus clientes tienen que saber que esto no volverá a ocurrir», dice Gaines-Ross.
  • Llevar a cabo un análisis forense del incidente y su respuesta. Un equipo diverso de las partes interesadas: TI, el departamento legal, prensa y demás, debe llevar a cabo un análisis posterior sobre los orígenes de la infracción y su gestión por parte de la empresa, de modo que lo que pasó no vuelva a ocurrir.

Las empresas necesitan construir arquitecturas de seguridad que sean flexibles y modulares para proporcionar niveles más altos de protección contra cualquier ataque, por ejemplo mediante el uso de la Virtualización. Por ello, le invitamos a ponerse en contacto con nosotros para proveerle más información respecto al apoyo que Adaptix Networks puede brindar específicamente a su empresa en temas de Virtualización, así como los casos de éxito de nuestros clientes.

CTB-Locker en servidores web

2016-05-18T10:28:05+02:00mayo 18, 2016|Internet, Seguridad|

De acuerdo con información publicada por Kaspersky, TeslaCrypt, CryptoWall, TorrentLocker, Locky y CTB-Locker son sólo algunos de los programas maliciosos a los que se han enfrentado los usuarios en los dos últimos años.

En fechas recientes se ha detectado una nueva variante de CTB-Locker. Antes, este ransomware se diferenciaba de otros por el uso que hacía de la red Tor Project para protegerse y de únicamente recibir bitcoins, la conocida cripto-moneda descentralizada y anónima. Ahora, la nueva variante ataca a servidores web y exige un rescate de menos de medio bitcoin (aprox. 150 USD). Si el pago no se envía en el plazo exigido, el rescate se duplica a 300 USD. Una vez hecho el pago, se genera una llave de decodificación para los archivos.

Una falla de seguridad en el servidor web permite la infección de los archivos,  una vez explotado, el sitio web se desfigura. En este caso, la desfiguración, que contiene un sustituto de la página php/html principal, se usa como vehículo del mensaje. Es importante mencionar que no se elimina el código original. Se almacena bajo seguridad en la raíz web con un nombre diferente en un estado codificado. La llave de decodificación se guarda en un servidor remoto, pero se le permite a la víctima decodificar dos archivos de forma gratuita, como muestra de su autenticidad. Otra función que existe en el sitio web atacado le permite a la víctima comunicarse con el atacante mediante chat: se requiere una firma/código personal solo disponible para las víctimas.

Aún no se sabe cómo CTB-Locker se instala en los servidores web, pero hay un elemento común entre los servidores atacados: utilizan la plataforma de WordPress como herramienta de gestión de contenidos. WordPress contiene muchas vulnerabilidades en sus versiones no actualizadas. También los plugins de terceros para WordPress hacen que el servidor sea más vulnerable a los ataques, ya que los autores de plugins no están comprometidos con ningún tipo de medidas de seguridad.

Por el momento, la única forma de eliminar esta amenaza en pocos segundos es mantener copias de seguridad de los archivos en otra parte. Incluso, algunos sitios web suelen tener múltiples versiones de sus contenidos, propagados en varios servidores web. En muchos otros casos, son supervisados y probados por profesionales en pruebas de seguridad anti-penetración.

Ir a Arriba