Etiqueta: ataque

Las 5 preguntas más comunes sobre ciberseguridad que se hacen las empresas

Cyxtera Technologies nos comparte una lista con las cinco preguntas más comunes sobre ciberseguridad, respondidas por expertos en antifraude.

“En múltiples ocasiones el mercado de la ciberseguridad no ha logrado satisfacer adecuadamente a quienes pretende proteger, debido a una creciente cantidad de soluciones específicas y superpuestas, que dejan a las organizaciones confundidas sobre la mejor manera de protegerse contra las amenazas externas”, explica Mike López, Vicepresidente de Operaciones de Cyxtera Technologies.

A continuación las 5 preguntas más relevantes sobre ciberseguridad y sus respuestas:

 

1. ¿Cuáles son las amenazas más grandes que se ven?

La amenaza más grande que se necesita considerar es el phishing, debido a sus capacidades de prevalencia y ataque multivectorial.

Un 90% de los ataques comienza con algún tipo de campaña de phishing, y muchas organizaciones no se encuentran equipadas para reconocer dichos ataques.

Además, el phishing no se limita a unos pocos canales, sino que está prácticamente en todas partes, siendo las campañas por correo electrónico las más conocidas.

Las organizaciones deben expandir su enfoque anti-phishing, ya que los ataques pueden realizarse en cualquier lugar en el que los estafadores logren establecer contacto con los usuarios, como tiendas de aplicaciones que alojan rogue apps (aplicaciones de antivirus falsos), plataformas de medios sociales con perfiles falsos, comunicaciones SMS, dominios similares, y muchos más. Estos ataques representan la mayor amenaza para las organizaciones que no están equipadas para detectarlos y desmontarlos, ya que se encuentran constantemente en evolución, en la medida en que los cibercriminales intentan circunnavegar los métodos de seguridad.

 

2. ¿Cuáles son los principales vectores de ataque detectados?

El phishing es, por mucho, el mayor vector de ataque, con su amplia variedad de métodos que cambian frecuentemente. Entre 2017 y 2018, 90% de los ejecutivos de ciberseguridad reportaron al menos un tipo de ataque de phishing dirigido a sus organizaciones. Estas campañas son creadas por estafadores que logran identificar vulnerabilidades dentro de un sistema, u obtienen acceso al mismo a través de credenciales débiles o robadas. Entre las formas más comunes de ataque se encuentran los dominios similares, los que consisten en la creación, por parte de los estafadores, de réplicas casi idénticas de un sitio web oficial con una URL similar, y correos electrónicos dirigidos a los clientes de una organización.

Otra forma de ataque, más especializada, es conocida como Business Email Compromise (BEC) o “fraude del CEO”.

Los estafadores que realizan campañas BEC crean correos electrónicos con un alto nivel de detalle en los que fingen ser un alto ejecutivo o miembro del departamento de finanzas de una organización, con el fin de obtener acceso a información sensible o realizar transferencias de dinero a sus cuentas propias.

Desde 2013, el BEC ha ocasionado por sí solo pérdidas descubiertas por más de USD12 mil millones.

Las tiendas de aplicaciones de terceros, y ocasionalmente tiendas de aplicaciones oficiales, son el segundo vector de mayor enfoque que vemos. Los estafadores crean aplicaciones falsas, o rogue apps, que imitan las aplicaciones oficiales de organizaciones legítimas, en un intento por atraer a los usuarios para que proporcionen sus credenciales sensibles. La suplantación de medios sociales además incluye un alto porcentaje de ataques de phishing, donde los estafadores crean cuentas falsas que aparentan ser reales para engañar a los usuarios y obtener su información personal.

 

3. ¿Qué controles deberíamos implementar basándonos en los ataques actuales?

Es esencial para defenderse de los ataques actuales contar con una estrategia proactiva que controle la visibilidad y permita mitigar de forma rápida y fácil los ataques. Las organizaciones deben tener la capacidad de identificar a la víctima, rastrear los movimientos de los atacantes y responder a preguntas como: ¿Quién es el objetivo? ¿Dónde se originó el ataque? ¿Qué información fue expuesta? La visibilidad implica poder tomar una acción informada para reducir los efectos del ataque.

Considerando lo anterior, es importante tener en cuenta que los cibercriminales están muy conscientes de que las organizaciones implementan estrategias de seguridad para evitar ser víctimas de phishing y otros ataques. Las estrategias de ataque criminal se encuentran en constante cambio y evolución,a fin de evitar la mayoría de los tipos de seguridad.

Debe afinar muy bien y con regularidad una solución antifraude robusta, para garantizar que los estafadores no sean capaces de explotar las brechas de los sistemas para escurrir los ataques a través de ellas.

 

4. ¿Por qué necesitamos protección contra el phishing si no tenemos ese problema?

Existen dos tipos de empresas: aquellas que han sido víctimas de phishing y aquellas que han sido víctimas de phishing, pero no lo saben. Desafortunadamente, la mayoría de las personas solo asocian el phishing con las URL o los correos electrónicos falsos. No obstante, el concepto de phishing, por definición, es un intento malicioso de obtener información sensible,independientemente de cuál sea el método de entrega de la misma. Los vectores de ataque incluyen todos los que ya hemos mencionado en este artículo, y muchos más: plataformas de medios sociales, aplicaciones de mensajería, SMS, aplicaciones móviles falsas, etc.

La suposición de que el phishing no es un problema hace a las organizaciones y a sus usuarios susceptibles a sufrir graves consecuencias financieras y reputacionales.

Sabiendo que todas las instituciones están propensas a ser víctimas de phishing, ¿qué puede hacerse para reducir el número de ataques? La respuesta se encuentra en ejemplos de la vida real. Muchos grandes bancos han reforzado su seguridad de tal manera que los cibercriminales se han alejado de ellos para buscar nuevos objetivos. A los atacantes les cuesta muy poco investigar miles de organizaciones hasta encontrar el eslabón más débil que sea más fácil de atacar; los bancos que implementan soluciones robustas y adaptables lograrán impedir los ataques, mientras que aquellos con menor protección serán los más victimizados.

5. ¿Por qué necesitamos una visibilidad entre canales si nuestras unidades comerciales operan de manera independiente?

La visibilidad entre canales se trata de entender cómo se propaga el fraude. Los ataques no se manifiestan en un solo canal, ni son ejecutados sobre un solo vector. Enfocarse solo en plataformas y canales específicos conduce a una falla de entendimiento sobre dónde y cómo se intenta infiltrar un ataque.

Además, los atacantes siempre buscarán el punto de entrada más fácil a un sistema vulnerable, y luego avanzarán alrededor de este lateralmente, causando cada vez más estragos. Sin la visibilidad dentro de los ataques perpetrados a la organización, estos pueden haber avanzado lo suficiente como para no poder ser detenidos en el momento en que sean detectados. Mientras más rápido se detecte una violación, mejores serán las oportunidades de ponerle fin, sin pérdidas u otras consecuencias negativas.

La administración de Donald Trump suprime al coordinador en ciberseguridad

La Casa Blanca decidió eliminar el rol que venía desempeñando el hasta ahora coordinador de la ciberseguridad del Consejo de Seguridad Nacional del país, en lo que algunos ciudadanos estadounidenses ven como un paso atrás en la lucha contra el cibercrimen. Las tareas que venía desempeñando el hasta ahora coordinador serán asumidas por los otros dos directores principales del equipo cibernético del NSC.

Rob Joyce, quien dejó su puesto el pasado viernes, era jefe de un grupo de hacking de la NSA (Tailored Access Operations) en marzo pasado. John Bolton, asesor de seguridad nacional de Trump, finalizó el papel con la partida de Joyce; una nota enviada a los empleados de NSC explicó que los motivos de la eliminación del cargo son las de simplificar la autoridad en el propio Consejo. Los otros directores tomarán el relevo.

El papel del ciber coordinador fue creado por primera vez por el presidente Obama en el año 2009. Tenía la tarea de coordinar la política nacional de seguridad cibernética en todos los lugares del país desempeñando una labor de unificación de las fuerzas y cuerpos de acción. En un momento en el que la ciberseguridad está aumentando su importancia y las ciberamenazas son claras para los gobiernos y para sus infraestructuras críticas, parece una decisión extraña “simplificar” en lugar de reforzar la labor relacionada con la ciberseguridad.

Durante el mandato del nuevo presidente Trump, la administración ha hecho mucho ruido acerca de tomar en serio la ciberseguridad, como es el hecho de elevar el Comando Cibernético Militar y darle más independencia. Esto agrega nuevos roles, en lugar de restarlos. Es por ello que extraña el movimiento ahora anunciado. Algunos expertos apuntan a que podría tratarse de un plan más amplio que resultaría por ofrecer nuevas capacidades de toma de decisiones y un órgano mejorado en política cibernética.

Bad Rabbit, el ransomware que ya se volvió un problema global

Compañías especializadas en ciberseguridad, como Kaspersky Labs, ESET o Proofpoint, han identificado el ransomware Bad Rabbit, que se propaga a través de una actualización falsa de Adobe Flash.

Este ataque se comporta de la misma forma que lo hicieron Petya o WannaCry. Se despliega una pantalla en forma de mensaje que advierte al usuario de que su computadora ha sido infectada, solicitándole un monto que inicia en 285 dólares, representados en bitcoins, para que el equipo cifrado pueda ser recuperado. El usuario tendrá en la pantalla una cuenta regresiva, haciéndole saber que, una vez transcurrido ese período, el precio del rescate se incrementará.

Interfax, un medio de comunicación de origen ruso, fue el primero en anunciar el descubrimiento de esta nueva amenaza ransomware, al ser ellos uno de sus primeras víctimas y comunicar que sus servidores estaban offline debido a un ciberataque.

La agencia de noticias utilizaba Facebook para emitir el comunicado mientras trataba de recuperarse del golpe. A su vez, otra firma de seguridad rusa, conocida como Group-IB, publicaba una captura de pantalla del nuevo ransomware al que ya se le conoce como Bad Rabbit.

Desde su descubrimiento, más de 200 organizaciones han sido afectadas entre las que se encuentran el aeropuerto Odessa de Ucrania, el ministerio de infraestructuras de Ucrania, o el metro de Kiev.

Todo lo que sabemos hasta ahora de BadRabbit

La nueva modalidad de ransomware se está extendiendo por todo el mundo, siendo Europa el continente más afectado hasta ahora más de 200 grandes organizaciones en la región, principalmente con sede en Rusia, Ucrania, Turquía y Alemania.

Big Rabbit afecta principalmente a las redes corporativas y exige como rescate la cifra de 285 dólares en moneda bitcoin para proceder con el desbloqueo de los sistemas afectados.

ESET destacó que el malware Bad Rabbit podría ser una variante de Petya, también conocida como Petrwrap, NotPetya, exPetr y GoldenEye, debido a que aparece como Win32 / Diskcoder.D.

Se vale de DiskCryptor, un software de código abierto para el cifrado de unidades completas, para cifrar los archivos mediante claves RSA 2048. Se cree que la nueva oleada de ataques de ransomware no está utilizando el exploit EternalBlue, la vulnerabilidad SMB filtrada que fue utilizada por los ransomware WannaCry y Petya para propagarse a través de las redes.

Bad Rabbit escanea la red interna de la organización en busca de recursos compartidos SMB abiertos.

Posteriormente prueba una lista codificada de credenciales utilizadas comúnmente para descartar el malware y utiliza una herramienta adicional para extraer las credenciales de los sistemas afectados.

Los investigadores todavía están analizando Bad Rabbit para comprobar si hay una forma de descifrar los equipos sin pagar el rescate exigido.

SophosLab alerta de que las versiones de antivirus detectarán esta variación como Troj / Ransom-ERK. Sophos Sandstorm ha detectado de forma proactiva esta amenaza a través de su programa de detección de machine learning, así como de Sophos Intercept X que ha bloqueado esta amenaza haciendo uso de la tecnología de Sophos CryptoGuard. Las soluciones de protección web de Sophos afirman también bloquean las páginas web que puedan albergarlo.

 

IDG.es

Hackers roban información de tarjetas de crédito en sitio web de Pizza Hut

Pizza Hut ha sufrido un ciberataque en su sitios web de Estados Unidos que ha dejado al descubierto datos de tarjetas de crédito de sus clientes.

El acceso no autorizado al sitio se produjo durante el pasado 1 y 2 de octubre; fueron un total de 28 las horas. Así, tal y como informa Security Week, los usuarios afectados son aquellos que accedieron a la web en este período de tiempo.

La compañía ha dicho que la brecha fue descubierta y arreglada en seguida y cree que el impacto del ataque es muy pequeño. No obstante, un diario de Kentuky dice que ha afectado a los datos bancarios de 600,000 usuarios.

Los datos que se han expuesto son, según Pizza Hut, las direcciones, los códigos postales, los nombres, direcciones de correo electrónico y datos de pago (incluyendo número de tarjeta, fecha de expiración y código CVV).

No es la única noticia de este corte que está llenando los titulares de los medios de comunicación especializados en las últimas semanas.

Hace apenas unos días la cadena hotelera Hyatt anunció que había sufrido un ciberataque a su sistema de pagos que puso al descubierto los datos bancarios de los clientes que habían hecho uso de los servicios de la compañía entre el 18 de marzo y el 2 de julio de 2017.

Ya en septiembre Equifax desveló haber sido víctima de un ciberataque masivo que, aprovechando una vulnerabilidad en la aplicación, robó los datos de más de 145 millones de usuarios.

Redacción

 

HBO confirma haber sufrido un ciberataque

El canal de televisión HBO fue víctima de un ciberataque en el que se vieron afectados unos 1.5 terabytes de datos que fueron robados, y en los que había información relativa a guiones y episodios inéditos de sus series más populares, además de información personal, legal y financiera de la Vicepresidenta Ejecutiva de Asuntos Jurídicos de HBO, así como las credenciales de acceso a sus redes sociales y otros servicios online.

HBO, a través de un comunicado, indicó que ya se está llevando a cabo una investigación y que trabajan tanto con la policía como con empresas de ciberseguridad.

“La protección de datos es una prioridad en HBO y tomamos muy seriamente nuestra responsabilidad para proteger la información que poseemos”. Tanto el FBI, como la empresa de seguridad Mandiant y HBO trabajan juntos en la investigación del incidente.

Según afirma el sitio web HackRead, como consecuencia de este ataque los hackers responsables del ataque han creado una web llamada WinterLeak donde han alojado toda la información sustraída permitiendo así que cualquiera pueda descargarla.

Según Entertainment Weekly los episodios filtrados pertenecen a las series Ballers y Room 104, además de material que supuestamente corresponde al cuarto episodio de la séptima temporada de Game Of Thrones.

Este ataque se suma a los sufridos por plataformas como Netflix en abril, cuando se filtraron episodios de ‘Orange is the New Black’, o Disney, cuando en mayo un hacker aseguró haber robado la nueva entrega de Piratas del Caribe de Disney, aunque la compañía aseguró que se trató de una farsa. El mayor hackeo en este ámbito lo sufrió Sony en 2014.

 

IDG.es

Diez medidas para evitar ataques disruptivos

FireEye informó que desde 2013, el grupo FIN10 tenía como principal objetivo extorsionar financieramente casinos y organizaciones de minería en América del Norte, siendo Canadá el principal foco. De acuerdo con los investigadores de FireEye, estas operaciones de intrusión pretenden el robo de datos corporativos, archivos, registros, correspondencia y claves de seguridad. En algunos casos ha solicitado el rescate en Bitcoins por un equivalente desde alrededor de $125,000 y hasta $600,000 dólares.

Responder a los incidentes como los observados del FIN10, es un reto para las empresas de todo el mundo, ya que no se puede prever cuál será el plano de contención para detener a este atacante, ya que no se sabe cuál es la motivación o el daño ya causado por él. Para ayudar a las organizaciones con estos incidentes, FireEye dio a conocer diez lecciones aprendidas a partir de la observación del FIN10:

 

1. Asegúrese de que exista una brecha: Asegúrese del que el sistema fue realmente hackeado. Las tentativas de extorsión son comunes, por eso, examine el ambiente antes de considerar el pago de rescate. El FIN10, por ejemplo, acostumbra proporcionar datos como prueba de que hubo una invasión y ayuda a determinar que sean suyos.

 

2. Su adversario es un humano: Recuerde que los seres humanos son imprevisibles y pueden actuar con emociones. Considere, con cuidado, cómo un atacante puede reaccionar sobre su acción o inacción (puede ser más agresivo en caso de que se sienta amenazado) o puede conceder más tiempo si cree en usted.

 

3. El tiempo es crítico: Es preciso validar la violación rápidamente, lo que exigirá esfuerzo de todo el equipo, incluyendo periodos fuera del horario normal, como noches o fines de semana, lo cual puede generar cansancio y fatiga. Además de la aprobación de cambios de emergencia en cortos periodos de tiempo.

 

4. Permanezca enfocado: Las distracciones están latentes y usted está contra reloj. Por eso evalúe las tareas que ayuden a mitigar, detectar y responder para contener un ataque. Concéntrese no en lo que deba tener (los llamados “must-have”) sino a la inversa, en lo que sería bueno tener (los “nice-to-have”) y considere la implementación de soluciones temporales para detener esta invasión.

 

5. Evalúe a los atacantes cuidadosamente: Un ciberatacante no espera respuestas, así que considere sus respuestas, limite sus interacciones y sea cauteloso con sus palabras. Tenga un apoyo jurídico en todas sus comunicaciones.

 

6. Involucre a especialistas antes de la violación: Serán necesarios especialistas de tres áreas a priori: forense, jurídico y relaciones públicas, al obtener confirmación de una violación disruptiva. Por eso es importante ya tenerlos y mantenerlos sobre aviso.

 

7. Considere todas las opciones cuando el rescate sea pedido: Sea consciente de que el pago de rescate no garantiza que su atacante le devolverá todos los datos robados, de ahí la importancia de incluir especialistas para evaluación de escenarios y toma de decisiones.

 

8. Asegure la segmentación y controle sus respaldos: La mayor parte de las empresas no cuenta con políticas cautelosas de respaldos, para recuperarlos rápidamente en caso de una falla del sistema. Por lo tanto, es común que el respaldo esté en el mismo ambiente invadido y comprometido por el atacante. De esa forma se tendrá el riesgo de la destrucción de los mismos.

 

9. Después del incidente enfóquese en mejoras de seguridad: Sea cual sea el resultado, debe garantizar que los atacantes no regresen y dañen más su ambiente. Usted no querrá que un segundo invasor lo visite porque está dispuesto a pagar un rescate. Asegúrese que ha entendido cómo funciona una extensión de brechas de seguridad e implemente tácticas y acciones estratégicas para prevenir accesos de futuros atacantes.

 

10. Si usted piensa que están fuera, pueden volver de una manera diferente: No olvide el funcionamiento y la mejora del tiempo de implementación de soluciones inmediatamente después de contener el ataque. Garantice pruebas de conducta del “red team” con evaluaciones para validar los controles de seguridad e identificación de vulnerabilidades, con el fin de arreglarlos rápidamente.

 

N. de P.

Un 50% de los correos que reciben las grandes empresas son maliciosos

Las empresas multinacionales reciben millones de correos electrónicos al día, pero en el último año se ha observado una mayor incidencia de email basura o malware, al grado que ya representan alrededor del 50% del total, al menos así lo advirtió Alejandro Canela, CIO de Siemens México y Centroamérica.

El ejecutivo Siemens precisó que, ante los últimos ciberataques a nivel mundial, las medidas de seguridad se han vuelto una prioridad para todo tipo de empresas.

“México es el segundo país con mayor cantidad de ataques cibernéticos en América Latina, lo que representa un punto de inflexión sobre la necesidad de que las empresas cuenten con sistemas de protección de red robustas, y mayores inversiones en ciberseguridad”.

Canela detalló que Siemens cuenta con centros de defensa dedicados al monitoreo y reacción ante incidentes, procesos para la administración de vulnerabilidades y actualización de software y aislamiento de la información crítica de la compañía.

No obstante, sostuvo que la inversión en infraestructura y sistemas de protección resulta inútil, si no se tiene una cultura de seguridad en la compañía. “Es importante invertir también en entrenamiento y comunicación para que todos los colaboradores integren en su día a día una cultura de seguridad”.

Es necesario que los colaboradores de una empresa tomen conciencia antes de abrir un correo sospechoso, insertar una memoria externa, descargar un archivo, visitar una página o incluso intercambiar información informalmente con personas.

Por su parte, Nicolás Rodríguez Guevara, Information Security Officer para México y Centroamérica, explicó que es importante hacer énfasis en entrenar al personal sobre las posibilidades de un robo de identidad o de información financiera a través de su correo electrónico.

Señaló que también es importante solicitar que los proveedores o socios de negocio tengan sistemas de seguridad robustos, porque forman parte de la cadena de valor de la compañía. “La seguridad hoy en día no es un lujo, debe estar inserta en el capital humano, en su tecnología y forma parte de sus procesos”, explicó a su vez Alejandro Canela.

N. de P.

México, de los países más atacados por Ransomware

El ransomware se ha convertido en una de las mayores amenazas que enfrentan los usuarios, desde PC, hasta dispositivos móviles e, incluso, Mac se ven afectados por este ciberataque que va año con año en crecimiento. N

El ransomware es un malware que bloquea un dispositivo o cifra los archivos, haciéndolos inaccesibles. Aquí es donde los ciberdelincuentes exigen el pago de un rescate para desbloquear el dispositivo o los archivos.

Los montos varían, pero en promedio, el año pasado rondaban en un bitcoin (aproximadamente, 500 dólares en ese momento). Habitualmente se disemina por medio del phishing en el correo electrónico o exploits, y se dirige tanto a usuarios individuales como a empresas.

Avast afirmó estar monitoreado el crecimiento masivo de los ataques de ransomware dirigidos a sus usuarios en México durante 2016. El crecimiento año con año fue 10 veces mayor comparado con el 2015, y cinco veces mayor en comparación con el total mundial año tras año. Se observaron picos en Q2 y Q4 de 2016. La compañía de seguridad afirmó detener más de dos ataques de ransomware cada minuto en México el año pasado.

Hablando de ransomware, México fue el quinto país más atacado en 2016, después de Estados Unidos, Brasil, Rusia y Reino Unido, basado en nuestras estadísticas.

Según Avast, ahorraron a sus clientes hasta 64 mil MDD al evitar pagos por rescate. Tan sólo en 2016, se identificaron 60 millones de incidencias del ransomware Locky, uno de los más peligrosos en el año pasado y el inicio de este.

Los equipos de TI se enfrentan a hasta 4 ataques por semana.

Las industrias más vulnerables a ataques de ransomware, según la firma de seguridad son educación con 13% del riesgo, seguido del sector público con 5.9%, sanidad con 3.5%, energía y servicios públicos con 3.4%, sector minirosta con 3.2% y finanzas con 1.5& del riesgo ante el ransomware.

“El ransomware se ha convertido en un negocio rentable para los ciberdelincuentes. Hubo un incremento de 105% de estos ataques de 2015 a 2016”, afirmó Jakub Kroustek, que dirige el equipo del laboratorio de amenazas y es el cocreador de las herramientas de descifrado de ransomware de Avast.

Si bien las herramientas de descifrado pueden ayudar a desbloquear archivos, deben considerarse la última opción.

El ransomware se ha vuelto tan lucrativo que hasta se promociona y se vende en la dark web, haciendo que casi cualquiera, con pocos o nulos conocimientos técnicos pueden comprar, modificar y diseminar ransomware.

Esto significa que todos los días aparecen versiones nuevas y un dispositivo se puede infectar con una variedad para la que no existe una herramienta de descifrado. Por lo tanto, Avast extiende la recomendación de instalar un antivirus, que funcione como una red de seguridad y proteja contra el ransomware, si llegara a aparecer; y que, periódicamente, se haga una copia de resguardo o backup de los archivos en un disco duro externo, que no esté conectado a la computadora o a internet.

Desde 2013, los investigadores de Avast Threat Labs han visto un aumento enorme en la cantidad de amenazas de ransomware. Solo el año pasado, monitorearon más de 150 variedades nuevas, y Avast creó herramientas gratuitas de descifrado de ransomware para ayudar a las víctimas a desbloquear archivos cifrados.

Los sistemas de Windows son los blancos habituales, pero también los usuarios de Mac sufren  estos ataques. La forma más común para que el ransomware entre en un sistema es a través de enlaces maliciosos y archivos adjuntos de correo electrónico. Según una encuesta de Osterman Research, efectuada de junio de 2016, en  los Estados Unidos y Alemania, casi la mitad de los ataques se debieron a que algún empleado pulsó un enlace que no debía en un correo electrónico.

Avast anunció que se sumó al proyecto No More Ransom, una iniciativa que ayuda a las víctimas del ransomware a recuperar sus archivos cifrados, sin pagar el rescate a los ciberdelincuentes. No More Ransom tiene cuatro socios principales y cuenta con el apoyo de organismos de seguridad de países de todo el mundo.

El proyecto No More Ransom comenzó a mediados de 2016 y ahora tiene 40 herramientas de descifrado gratuitas, seis de las cuales son provistas por Avast.

 

N. de P.

Los ataques denominados “no maliciosos” se multiplican

Estos ciberataques se caracterizan por presentar rasgos de malware sin descargar archivos infectados y suponen una gran amenaza a la que no pueden hacer frente las técnicas más tradicionales de defensa.

Cada vez más atacantes están llevando a cabo sus actividades sin la necesidad de utilizar malware para traspasar los tradicionales mecanismos de seguridad basados en archivos. Casi dos tercios de los investigadores de seguridad encuestados por la compañía Carbon Black dice que han notado un crecimiento exponencial en estas técnicas desde principios de año. Además, he aquí el problema, no están seguros de que los antivirus puedan hacerles frente. Y, otro informe anterior revela que estos ataques denominados “no maliciosos” o “sin archivos”, han aumentado del 3% al 13% en 2016.

Aunque no haya una técnica definitiva para acabar con el problema no significa que no se pueda atajar. “Para protegerse, las empresas deben consultar los pasos a seguir con sus vendedores de la Plataforma de Protección de Terminales, recomienda el analista Gartner. También aconseja utilizar plataformas como el Enhanced Mitigation Experience Toolkit de Microsoft que impone restricciones a las aplicaciones para protegerlas. Por ejemplo, admite la prevención de ejecución de datos que supervisa el uso de la memoria por las aplicaciones y puede apagarlas si ocurre alguna situación extraña. Además, la consultora cree que productos como Chrome, Firefox, Internet Explorer, Microsoft Office, Java VM y Adobe ofrecen una base de aplicaciones cubiertas.

Este tipo de ataque compromete los procesos legítimos y las aplicaciones para llevar a cabo actividades maliciosas. Sin embargo, no descargan archivos dañados, por lo que no hay malware que detectar. El estudio de Carbon Black asegura que los tipos de ataques no maliciosos reportados por las investigaciones fueron las conexiones remotas (55%), seguido de ataques basados en WMI (41%), ataques en memoria (39%), ataques basados en PowerShell (34%), y ataques que aprovechan los marcos de Office (31%).

Del estudio se desprende la importancia de monitorizar el comportamiento inusual, comprobar la línea de comandos en PowerShell y la segmentación de la red.

Tim Greene

 

El FBI investiga a Trump por ciberataque ruso lanzado en las elecciones

El FBI se encuentra realizando investigaciones sobre el ataque ruso lanzado durante las pasadas elecciones presidenciales de Estados Unidos y la posible cooperación del actual presidente del país, Donald Trump, tal como ha afirmado James Comey, director del FBI.

Esta investigación no ha causado sorpresa, pero es la primera vez que la agencia ha comunicado estar realizando una investigación activa. Normalmente el FBI no lanza comunicados sobre estas investigaciones, pero este ciberataque representa un “caso inusual”, explicó ayer Comey a los miembros del Comité de Inteligencia de la Cámara de Representantes de Estados Unidos.

El director del FBI ha asegurado que la agencia está investigando los posibles contactos y la cooperación entre el Gobierno ruso y la campaña de Trump, “la naturaleza de cualquier vínculo” entre ambos.

Las agencias de inteligencia estadounidenses están seguras de que Rusia dirigió un ciberataque contra el Comité Nacional Demócrata y contra el jefe de campaña de Hilary Clinton, John Podesta, con el que consiguieron filtrar miles de correos electrónicos, publicados más tarde por WikiLeaks y otras plataformas web.

Mike Rogers, director de la Agencia de Seguridad Nacional (NSA), sostuvo ayer que el Comité de Inteligencia permanece seguro de que los rusos coordinaron el ataque durante la campaña presidencial. El Gobierno ruso ha negado reiteradamente haber interferido en dicha campaña.

Por su parte, los miembros del partido republicano señalaron que no hay pruebas que conecten la campaña de Trump con el Gobierno ruso, pero los miembros demócratas del Comité trataron de conectar los puntos.

En una insólita exposición de 17 minutos de duración, el representante Adam Schiff trazó un cronograma de reuniones llevadas a cabo entre los miembros de la campaña de Trump y el Gobierno ruso durante la temporada electoral. De acuerdo con Schiff, Carter Page, exasesor de seguridad nacional de Trump, visitó Moscú a mediados de 2016, y otros miembros de su partido también se reunieron con funcionarios rusos durante la Convención Nacional Republicana.

“¿Es posible que estos eventos e informes no tengan nada que ver y no sean más que una coincidencia totalmente infeliz? Sí, es posible, pero también lo es, quizá más que posible, que no sean coincidencias, no estén desconectadas y no sean ajenas”, declaró Schiff.

Grant Gross