Etiqueta: ciberataque

Categorías
Columnas

Ransomware en organizaciones: Qué es el secuestro de información y cómo evitarlo

Ransomware en organizaciones: Qué es el secuestro de información y cómo evitarlo
Por Augusto Bainotti, Country Manager de Chile y Cono Sur de ESET Latinoamérica.

Santiago, Chile. 9 septiembre, 2020. Durante los últimos días, han surgido reportes de reconocidas entidades que han sido víctimas de un ataque de ransomware, más específicamente de la familia Sodinokibi. Este tipo de código malicioso cifra la información de los equipos infectados, pidiendo un rescate monetario para poder liberarlos e inclusive se han visto casos en los que se ha amenazado a las víctimas con divulgar la información retenida en caso de no pagar el rescate. Tal como lo hacemos siempre, desde ESET no recomendamos que se realice el pago de un rescate ya que no existen garantías de que el acceso a los archivos sea devuelto y tampoco es bueno alentar a que este tipo de prácticas continúen financiándose.

Para ponernos en contexto, Sodinokibi, en particular, suele enfocarse en el aprovechamiento del acceso remoto mal protegido (especialmente el protocolo RDP) para atacar objetivos seleccionados, en lugar de hacer campañas generalizadas dirigidas a usuarios aleatorios. Esto no quiere decir que los cibercriminales que están utilizando este malware hayan cambiado el método de propagación por alguno más tradicional como el envío de correos electrónicos con adjuntos maliciosos o la explotación de vulnerabilidades para escalar privilegios en los sistemas.

Asimismo, en el último mes en Chile las detecciones de las distintas familias de ransomware estuvieron distribuidas de la siguiente manera: STOP (22,68%), CryptProjectXXX (15,5%), Locky (11,72%), TeslaCrypt (11,15%), Crysis (6,43%), Sodinokibi (6,43%), NHT (6,24%), MedusaLocker (3,4%), GandCrab (2,46%), Otros (13,99%).

En virtud de lo presentado sobre los riesgos que estas amenazas suponen, y considerando también la protección frente a códigos maliciosos del tipo ransomware, es elemental contar con soluciones de seguridad en la red de trabajo y en ESET ponemos el acento en la importancia de contar con la última versión disponible de estos productos ya que se incorporan nuevas funcionalidades y capas adicionales de protección.

A continuación, comparto algunas medidas que ayudarán a minimizar el riesgo de infección de ransomware:

  • Mantener actualizados las soluciones de seguridad: nuevas versiones de estos códigos maliciosos son lanzadas frecuentemente, de manera que es importante recibir las actualizaciones de la base de datos de firmas de virus.  ESET, por ejemplo, realiza actualizaciones cada una hora si se posee una licencia vigente y una conexión a Internet estable.
  • Conservar activada la Exploración avanzada de memoria y el Bloqueador de exploits: así se identifican comportamientos sospechosos luego de que el código malicioso se visibiliza en la memoria y el Bloqueador de exploits fortalece la protección contra los ataques dirigidos y vulnerabilidades previamente no visibilizadas, también conocidas como 0-day, así como también las conocidas tal como Win32/Exploit.CVE-2018-8453. Estas características de seguridad de ESET refuerzan la protección contra códigos maliciosos que han sido diseñados para evadir la detección de productos antimalware a través del uso de ofuscación y/o encriptación.
  • Mantener activada la funcionalidad ESET Live Grid: esta funcionalidad ayuda a detectar amenazas emergentes en base a la reputación y mejora el rendimiento de las exploraciones por medio de las listas blancas. La información de la amenaza nueva se transmite en tiempo real a la nube, lo que le permite al Laboratorio de búsqueda de malware de ESET proporcionar una respuesta oportuna y una protección consistente en todo momento.
  • Conservar activada la Heurística avanzada para la ejecución de archivos: esta funcionalidad emula el código en un entorno virtual y evalúa su comportamiento antes de que se permita la ejecución del código, adicionando una capa de seguridad.
  • Verificar que “Unidades de red” se encuentre seleccionado para la Protección del sistema de archivos en tiempo real: así la Exploración en tiempo real del sistema de archivos se encontrará posibilitado de iniciar la detección en un equipo infectado, impidiendo que el proceso del ransomware encripte la unidad.
  • Asegurarse de que se encuentre activada la Protección contra Ransomware (productos ESET para Windows versión 10): como parte de la tecnología de Autodefensa constituye otra capa de protección que funciona como parte de la funcionalidad HIPS. ESET LiveGrid debe encontrarse habilitado para que la Protección contra Ransomware funcione adecuadamente.

También, recomendamos complementar dichas prácticas con las siguientes recomendaciones de seguridad en general:

  • Conserve copias de seguridad de su sistema
  • Cuente con una política clara de permisos de usuarios y restricción de derechos
  • Utilice doble factor de autenticación (2FA) para sus accesos
  • No deshabilite el Control de cuentas de usuario (UAC)
  • Proteja el Protocolo de Escritorio Remoto (RDP) de Windows a través del uso de VPN o con un Doble Factor de autenticación (2FA)
  • Deshabilite Macros en Microsoft Office mediante Políticas de grupo

El contexto de aislamiento debido al covid 19 llevó a un aceleramiento en la digitalización de los ecosistemas corporativos, pero en pos de establecer nuevas funcionalidades es fundamental contemplar el factor de seguridad en las habilitaciones que se vayan adoptando. Desde ESET recomendamos contar información y asesoramiento sobre cómo prevenir este y otros ataques informáticos para mantenerse seguros y competitivos en el mercado.

Categorías
Seguridad Titulares

BancoEstado detectó un software malicioso en sus sistemas operativos

BancoEstado detectó un software malicioso en sus sistemas operativos

Por César Pallavicini Zambrano, CEO de Pallavicini Consultores.

Santiago, Chile. 7 septiembre, 2020. El día viernes 5 del presente mes, el Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRTGOB emitió un “COMUNICADO SOBRE AUMENTO DE NIVEL DE SEGURIDAD CIBERNÉTICA”, donde solicita a la comunidad de la Red de Conectividad del Estado y a todos los Encargados de Ciberseguridad del Estado, para que tomen precauciones en cada uno de sus sistemas dado que se ha comprobado la activación de campañas de ransomware dirigidas a entidades privadas de la economía nacional en las últimas horas, las que habrían afectado en forma limitada a esos ambientes.

El Nivel Alto de seguridad que se activa a partir de este momento, implica que existe una amenaza que, de llegar a afectar al Estado, podría tener un impacto significativo. En consecuencia, se advierte a toda la comunidad y entidades asociadas, que CSIRT activará controles de reforzamiento remoto para monitorear y evaluar la situación.

Luego de lo antes mencionado por el CSIRT (Computer Security Incident Response Team), el domingo 6, “BancoEstado informó la detección durante el fin de semana de un software malicioso en sus sistemas operativos.

La información fue dada a conocer por la entidad mediante un comunicado subido a redes sociales, señalando que sus equipos operacionales y de ciberseguridad se desplegaron para controlar el hecho.

Esta noticia fue twitteada por el senador Felipe Harboe, mencionando a 14.000 puestos de trabajo y 4.000 servidores atacados; advirtiendo que “el gobierno aún duerme sin enviar la ley de institucionalidad en Ciberseguridad. Es clave que den sentido de urgencia, ya que en la economía digital, la Ciberseguridad es condición de confianza”!

Mientras se compartía la información con la comunidad de profesionales de riesgo operacional y grupos de ciberseguridad, se confirmó que serían 12.000 los servidores afectados y que la banca y la CMF (Comisión para el Mercado Financiero) están muy preocupados por lo ocurrido; porque surgió el rumor de que también fue atacado un Banco privado. De ser cierto, ya no se trataría solamente de empresas del estado, según lo advertido por el CSIRT, ya que hay que considerar que en años anteriores, cuando se produjeron estos ciberataques, supondría que el ataque se debió a vulnerabilidades del sistema operativo Windows, lo que podría afectar a otras industrias.

Esperemos que pronto el gobierno y el congreso, agilicen las leyes que hasta ahora han sido intenciones, pero que duermen en las diferentes etapas de aprobación, me refiero a leyes o reformas: Infraestructura Crítica, Institucionalidad en Ciberseguridad, Protección de Datos Personales, Delitos Informáticos (fue dictada en 1993) y otras.

En el sector privado, hay que insistir en la importancia de tener una visión de Gobierno Corporativo y de cumplimiento, para poder mitigar los riesgos a que se exponen las compañías, riesgos cibernéticos, gestión de riesgo operacional, financiero, legal, etc. Sin embargo, si las empresas continúan recortando los presupuestos de inversión y postergándolos al año siguiente, los ciberatacantes verán incrementados sus ingresos nuevamente.

Categorías
Seguridad Titulares

Hacker ruso exige pago por US$ 10 millones a Garmin

Hacker ruso exige pago por US$ 10 millones a Garmin
  • Evil Corp, dirigida por el fugitivo más buscado por el FBI, Maksim Yakubets, realizó un ataque ransomware la semana pasada.

Nueva York, EE.UU. 27 julio, 2020. Garmin, la empresa de tecnología GPS con sede en Kansas, fue objeto de un ciberataque masivo que incluye un sofisticado programa de rescate desarrollado por el grupo de hackers rusos Evil Corp, que ahora exige un pago por US$ 10 millones para liberar a la empresa de sus garras.

El jueves por la mañana, los clientes no pudieron acceder a las aplicaciones de los dispositivos Garmin. El sistema de comunicación de la compañía también fue desactivado en el ataque, lo que le impidió solucionar los problemas con sus clientes.

Sin embargo, durante el fin de semana, la empresa publicó en Twitter Preguntas Frecuentes para ayudar a sus clientes a entender lo que está sucediendo.

Evil Corp, que se lanzó en 2009, está dirigida por Maksim Yakubets, un extravagante playboy ruso que posee un tigre como mascota y tiene un Lamborghini fabricado a medida con una patente personalizada que dice “LADRÓN” en ruso. Está entre los más buscados del FBI en todo el mundo con una recompensa de US$ 5 millones por información que lleve a su captura y condena.

Pero en su país de origen, particularmente en Moscú, se le describe como “intocable”. El multimillonario ha publicado vídeos en los medios sociales en los que conduce círculos alrededor de las patrullas de policía de Moscú, con los neumáticos chirriando. Se dice que posee una flota entera de los llamados “superdeportivos” que ha comprado con las ganancias del trabajo de Evil Corp.

Más información sobre las actividades ilícitas de Evil Corp, las puede encontrar en blog de KrebsOnSecurity.

La opinión de los expertos en ciberseguridad y agencias de inteligencias es que Yakubets, quien usa el identificador de hackers “Aqua”, es en realidad un agente ruso de la Agencia de Inteligencia FSB. De hecho, en 2017, el Departamento del Tesoro de los Estados Unidos alegó que era un activo de la inteligencia rusa.

Así que ahora Garmin está en un aprieto si está pensando en pagar los US$ 10 millones por el rescate para volver a tener sus servicios en línea. El Departamento del Tesoro sancionó a Evil Corp. el pasado diciembre por causar más de US$ 100 millones en daños al sistema financiero norteamericano – y pagar el rescate sería una violación de esas sanciones.

El mes pasado, los expertos en seguridad cibernética anunciaron que Evil Corp había lanzado una nueva ola de ataques con rescates. Estos afectaron a más de 30 corporaciones norteamericanas, incluyendo ocho compañías de Fortune 500.

Categorías
Seguridad

Ciberataque a Redbanc en Chile comenzó por una oferta laboral publicada en LinkedIn

Redbanc - LinkedIn - Ciberataque

 

  • Los cibercriminales publicaron una oferta de empleo en LinkedIn a la que se postuló un empleado de Redbanc, y luego de una entrevista por Skype le pidieron instalar un programa que contenía malware.

Santiago, Chile. 17 enero, 2019. Redbanc, compañía que actualmente presta servicios de procesamiento de transacciones a 12 bancos en Chile, emitió un comunicado la semana pasada confirmando que a fines de diciembre sus sistemas detectaron una alerta ante un intento de ciberataque. Luego de que el Senador Felipe Harbour revelara la existencia del incidente a través de su cuenta de Twitter y reclamara que la empresa se manifestara sobre lo ocurrido, la compañía emitió el comunicado en el que aseguró que se activaron de manera inmediata los protocolos de seguridad y que el intento no tuvo ningún impacto, lo que permitió mantener los servicios funcionando con total normalidad.

¿Cómo ocurrió el incidente? Según fuentes consultadas por trendTIC, los atacantes hicieron uso de la ingeniería social para infectar a un profesional de TI de Redbanc. Según explica el medio, los cibercriminales publicaron una oferta laboral en LinkedIn para el cargo de desarrollador y un empleado de Redbanc se postuló. Luego, se contactaron con el postulante para realizar una entrevista a través de Skype (en español) y una vez que establecieron contacto y ganaron su confianza, le solicitaron que instalara un programa, cuyo nombre de archivo es ApplicationPDF.exe, para que pueda completar el proceso.

El programa, instalado en la computadora laboral y dentro de la red de la empresa, no fue detectado por la solución de seguridad del equipo de la víctima. Sin embargo, contenía una amenaza. El malware que venía con este programa permitía a los actores maliciosos detrás de este intento de ataque explorar la red de la empresa.

Felizmente, la amenaza se detectó a tiempo y se logró aislar el potencial problema, aseguró la compañía en el comunicado.

“Este caso es un ejemplo de cómo los cibercriminales permanecen al acecho con el objetivo de obtener ganancias económicas a costa de los fallos de seguridad de las empresas, que en muchas ocasiones suelen estar asociados con sus usuarios que bajan la guardia, como probablemente haya sido el caso de este profesional de TI de Redbanc que fue víctima del engaño, o también la falta de conciencia al momento de manejar los activos de información de la empresa”, opinó el Jefe del Laboratorio de ESET Latinoamérica, Camilo Gutiérrez.

Un nuevo incidente de seguridad contra instituciones financieras en Chile

2018 no fue el mejor año para el sistema financiero de Chile en cuanto a seguridad se refiere. Fueron varios los incidentes de seguridad que tuvieron como protagonistas a bancos chilenos. Por ejemplo, el ciberataque que sufrió el Banco de Chile en mayo cuando atacantes lograron robar millones de dólares de los fondos de la entidad (no de cuentas de clientes) luego de introducir un virus informático para alterar sus sistemas. Otro episodio que tuvo protagonista a la misma entidad financiera se conoció en julio, cuando un empleado estafó al banco realizando transferencias no autorizadas durante un largo período de tiempo simulando que realizaba sus labores cotidianas. Y por si fuera poco, también en julio, se conoció una masiva filtración de datos de tarjetas de crédito que afectó a clientes de 18 bancos.

Cuando parecía que el año por fin terminaba y que atrás quedaba un año que tanto había dado que hablar en materia de ciberseguridad, el intento de ataque dirigido a Redbanc volvió a encender las alarmas.

Para Gutiérrez, “es claro que solamente con tecnología no alcanza para garantizar la seguridad de los datos más sensibles”. Además, agrega que “más allá de la importancia de las políticas de gestión para el manejo de la infraestructura, cada vez se vuelve imperativa la necesidad de educación dirigida a los usuarios para que sean conscientes de los riesgos que existen y de esta manera puedan identificar posibles ataques”.

“Muchas empresas siguen basando sus medidas de protección únicamente en la prevención, lo cual es muy importante para prevenir la ocurrencia de un incidente que afecte la continuidad del negocio. Pero además de tomar medidas de control preventivas se debe considerar los protocolos de actuación frente a un incidente, que son: cómo detectarlo, cómo contenerlo y cómo corregirlo”, finalizó el Jefe del Laboratorio de ESET Latinoamérica.

Categorías
Seguridad

Marriott se tambalea por masivo ciberataque

Marriott - Arne Sorenson - ciberataque
“Lamentamos profundamente que este incidente haya tenido lugar. Le hemos fallado a nuestros clientes y a nosotros mismos. Estamos haciendo todo lo que podemos para apoyar a nuestros clientes y aprovechando las lecciones aprendidas para seguir adelante”, señaló el presidente y CEO de Marriott, Arne Sorenson.

 

  • Hackers accedieron a datos personales de 500 millones de pasajeros de su filial Starwood desde 2014, pero no fue detectado hasta septiembre, incluyendo pasaportes, tarjetas de crédito, direcciones y contenido de correos electrónicos. La acción cae por temor a sanciones.
  • Las acciones de Marriott cayeron un 6% antes de la campana de apertura.

Bethesda, Maryland, EE.UU. 30 noviembre, 2018. Marriott, la mayor cadena de hoteles del mundo, ha revelado que en la base de datos del sistema de reservas de su filial Starwood hubo una intrusión que expuso información personal de hasta 500 millones de clientes por todo el mundo. Este acceso no permitido se remonta a 2014, pero no se detectó hasta el pasado mes de septiembre y hasta la semana pasada no se conoció su alcance. Las acciones de Marriott cayeron un 6% antes de la apertura de Wall Street.

“El 19 de noviembre, una investigación determinó que se produjo un acceso no autorizado a nuestra base de datos, que contiene información relacionada con las reservas en las propiedades de Starwood en o antes del 10 de septiembre de 2018″, reconoció la empresa en un comunicado.

La compañía informa de que en la mayoría de los casos, los piratas informáticos pudieron tener acceso a información de clientes (nombres, direcciones, números de teléfono, correos electrónicos, números de pasaportes e itinerarios) que pernoctaron en sus hoteles. No se descarta que el o los intrusos pudieran tener acceso también a datos relacionados con las tarjetas de crédito.

Marriott asegura que está haciendo todo lo que puede para resolver la situación y ayudar a sus clientes. La brecha de seguridad se detectó hace dos meses con una herramienta interna. Pero llevó varias semanas rastrear toda la información potencialmente afectada y determinar qué tipo de contenido podría haberse visto comprometido.

Tras la investigación interna se determinó que un tercero tuvo acceso a la base de datos, copió información que no estaba encriptada e intentó robarla. Marriott adquirió Starwood hace dos años para crear un gigante con más de un millón de habitaciones repartidas por todo el mundo. Pagó por ella US$ 13.600 millones, tras una competencia que duró varios meses con el conglomerado chino Anbang.

Marriott creó un sitio web (info.starwoodhotels.com) y un centro de llamadas para informar a los clientes. Además, enviará correos electrónicos a los afectados y permitirá el acceso sin cobro al servicio WebWatcher para verificar si sus datos personales son utilizados. Starwood tiene entre sus marcas los hoteles Sheraton, Westin, Le Méridien y Four Points.

“Lamentamos profundamente que este incidente haya tenido lugar. Le hemos fallado a nuestros clientes y a nosotros mismos. Estamos haciendo todo lo que podemos para apoyar a nuestros clientes y aprovechando las lecciones aprendidas para seguir adelante”, señaló el presidente y CEO de Marriott, Arne Sorenson.

Tras la fusión entre Marriott y Starwood se realizaron intentos de combinar los programas de lealtad para los hoteles, pero se han visto empañados por dificultades técnicas.

El CEO Sorenson indicó en una declaración hoy que Marriott aún está intentando eliminar los sistemas de Starwood.

Categorías
Seguridad

Banco Consorcio reporta que fue víctima de un ciberataque

  • El banco aseguró que el ataque no tuvo impacto en los fondos de los clientes y que un monto inferior a los US$ 2 millones está aún en proceso de ser recuperado. La SBIF dijo que “no ha habido afectación de clientes.

Santiago, Chile. 8 noviembre, 2018. Banco Consorcio informó que el martes 6 de noviembre, como resultado del monitoreo permanente, se detectó que terceros aún no identificados intervinieron el sistema de transferencias internacionales, con la finalidad de generar maliciosamente cargos en una cuenta propia del banco que mantiene en un corresponsal del exterior.

“La inmediata activación de los protocolos de seguridad y contingencia permitió controlar rápidamente el incidente, informar a la autoridad, continuar con la operación del banco y asegurar la integridad de los datos e información”, indicó la entidad.

Asimismo señaló que un monto inferior a los US$ 2 millones está aún en proceso de ser recuperado, para lo que además existen seguros comprometidos.

“El hecho no tuvo ningún impacto en los registros ni fondos de nuestros clientes y sus productos continúan operativos. Asimismo, nuestros canales de servicio, sucursales, sitios web y aplicaciones móviles han estado siempre disponibles”, aseguró el banco.

Además afirmó que “estamos trabajando junto a expertos internacionales para investigar estos hechos y ejercer las acciones legales contra quienes resulten responsables”.

En tanto la Superintendencia de Bancos e Instituciones Financieras (SBIF) informó que a través de un Reporte de Incidente Operacional (RIO) fue informada hace 48 horas por Banco Consorcio de un incidente que afectó sus pagos internacionales.

“No ha habido afectación de clientes y estamos trabajando para asegurar que la situación esté controlada”, dijo la SBIF mediante su cuenta en Twitter.

Banco Consorcio - SBIF

El ataque a Banco Consorcio se da luego que en mayo Banco de Chile perdiera US$ 10 millones en una ataque y luego se filtraran los datos de tarjetas de varias entidades bancarias lo que llevó a la SBIF a realizar una serie modificaciones normativas para mejorar los estándares de seguridad informática.