Etiqueta: ransomware

Categorías
Seguridad

Pallavicini Consultores asegura que ataque a BancoEstado fue alertado el sábado 5 de septiembre por CSIRT

Pallavicini Consultores asegura que ataque a Bancoestado fue alertado el sábado 5 de septiembre por CSIRT
Según César Pallavicini es urgente que el Gobierno y el Congreso agilicen las leyes que hasta ahora han sido solo intenciones, “porque duermen en las diferentes etapas de aprobación”, afirma el experto nacional.
  • Según César Pallavicini es urgente que el Gobierno y el Congreso agilicen las leyes que hasta ahora han sido solo intenciones, “porque duermen en las diferentes etapas de aprobación”, afirma el experto nacional. A los proyectos de ley, que Pallavicini hace mención son: Infraestructura Crítica, Institucionalidad en Ciberseguridad, Protección de Datos Personales y Delitos Informáticos, por indicar los más relevantes.

Santiago, Chile. 24 septiembre, 2020. El sábado 5 de septiembre, el Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRTGOB, emitió un informativo sobre el aumento de nivel de SEGURIDAD CIBERNÉTICA. En ella se solicitó a la comunidad que forma parte de la red de conectividad del Estado y a todos los encargados de ciberseguridad pública que tomaran precauciones en cada uno de sus sistemas, ya que se había comprobado la activación de campañas de ransomware dirigidos a entidades privadas de la economía nacional en las últimas horas.

El alto nivel de seguridad que se activó a partir de ese momento implicó que existía un riesgo de amenaza real que podría afectar a una entidad del Estado con un impacto significativo en la ciudadanía En consecuencia, se advirtió a toda la comunidad y entidades asociadas que CSIRTGOB activaría controles de reforzamiento remoto para monitorear y evaluar la situación.

El domingo 6 BancoEstado informó la detección durante el fin de semana de un software malicioso en sus sistemas operativos. La información fue dada a conocer por la entidad mediante un comunicado en redes sociales, señalando que sus equipos operacionales y de ciberseguridad se desplegaron para controlar el hecho.

Felipe Harboe, senador, indicó que el hecho afectaba a 14.000 puestos de trabajo y 4.000 servidores. Harboe dijo que también que el “Gobierno duerme, sin enviar la ley de institucionalidad en ciberseguridad. Es clave que den sentido de urgencia, porque en la economía digital, la ciberseguridad es condición de confianza, subrayó el parlamentario. Mientras, la información oficial arrojó que fueron 12.000 las máquinas afectadas y el Día lunes 7, amanece el BancoEstado con las sucursales cerradas, sin tener certeza de su reapertura.

Según César Pallavicini es urgente que el Gobierno y el Congreso agilicen las leyes que hasta ahora han sido solo intenciones, “porque duermen en las diferentes etapas de aprobación”, afirma el experto nacional. A los proyectos que Pallavicini hace mención son: Infraestructura Crítica, Institucionalidad en Ciberseguridad, Protección de Datos Personales y Delitos Informáticos, por indicar los más relevantes.

De igual forma, el experto asegura que en el sector privado hay que insistir en la importancia de tener una visión de gobierno corporativo y de cumplimiento para mitigar los riesgos a que se exponen las compañías. Es decir, riesgos cibernéticos, riesgos operacionales y también legales. “Si las empresas siguen recortando los presupuestos de inversión y postergándolos, los ciberatacantes verán incrementados sus ingresos nuevamente”, concluye César Pallavicini.

Categorías
Columnas

Ransomware en organizaciones: Qué es el secuestro de información y cómo evitarlo

Ransomware en organizaciones: Qué es el secuestro de información y cómo evitarlo
Por Augusto Bainotti, Country Manager de Chile y Cono Sur de ESET Latinoamérica.

Santiago, Chile. 9 septiembre, 2020. Durante los últimos días, han surgido reportes de reconocidas entidades que han sido víctimas de un ataque de ransomware, más específicamente de la familia Sodinokibi. Este tipo de código malicioso cifra la información de los equipos infectados, pidiendo un rescate monetario para poder liberarlos e inclusive se han visto casos en los que se ha amenazado a las víctimas con divulgar la información retenida en caso de no pagar el rescate. Tal como lo hacemos siempre, desde ESET no recomendamos que se realice el pago de un rescate ya que no existen garantías de que el acceso a los archivos sea devuelto y tampoco es bueno alentar a que este tipo de prácticas continúen financiándose.

Para ponernos en contexto, Sodinokibi, en particular, suele enfocarse en el aprovechamiento del acceso remoto mal protegido (especialmente el protocolo RDP) para atacar objetivos seleccionados, en lugar de hacer campañas generalizadas dirigidas a usuarios aleatorios. Esto no quiere decir que los cibercriminales que están utilizando este malware hayan cambiado el método de propagación por alguno más tradicional como el envío de correos electrónicos con adjuntos maliciosos o la explotación de vulnerabilidades para escalar privilegios en los sistemas.

Asimismo, en el último mes en Chile las detecciones de las distintas familias de ransomware estuvieron distribuidas de la siguiente manera: STOP (22,68%), CryptProjectXXX (15,5%), Locky (11,72%), TeslaCrypt (11,15%), Crysis (6,43%), Sodinokibi (6,43%), NHT (6,24%), MedusaLocker (3,4%), GandCrab (2,46%), Otros (13,99%).

En virtud de lo presentado sobre los riesgos que estas amenazas suponen, y considerando también la protección frente a códigos maliciosos del tipo ransomware, es elemental contar con soluciones de seguridad en la red de trabajo y en ESET ponemos el acento en la importancia de contar con la última versión disponible de estos productos ya que se incorporan nuevas funcionalidades y capas adicionales de protección.

A continuación, comparto algunas medidas que ayudarán a minimizar el riesgo de infección de ransomware:

  • Mantener actualizados las soluciones de seguridad: nuevas versiones de estos códigos maliciosos son lanzadas frecuentemente, de manera que es importante recibir las actualizaciones de la base de datos de firmas de virus.  ESET, por ejemplo, realiza actualizaciones cada una hora si se posee una licencia vigente y una conexión a Internet estable.
  • Conservar activada la Exploración avanzada de memoria y el Bloqueador de exploits: así se identifican comportamientos sospechosos luego de que el código malicioso se visibiliza en la memoria y el Bloqueador de exploits fortalece la protección contra los ataques dirigidos y vulnerabilidades previamente no visibilizadas, también conocidas como 0-day, así como también las conocidas tal como Win32/Exploit.CVE-2018-8453. Estas características de seguridad de ESET refuerzan la protección contra códigos maliciosos que han sido diseñados para evadir la detección de productos antimalware a través del uso de ofuscación y/o encriptación.
  • Mantener activada la funcionalidad ESET Live Grid: esta funcionalidad ayuda a detectar amenazas emergentes en base a la reputación y mejora el rendimiento de las exploraciones por medio de las listas blancas. La información de la amenaza nueva se transmite en tiempo real a la nube, lo que le permite al Laboratorio de búsqueda de malware de ESET proporcionar una respuesta oportuna y una protección consistente en todo momento.
  • Conservar activada la Heurística avanzada para la ejecución de archivos: esta funcionalidad emula el código en un entorno virtual y evalúa su comportamiento antes de que se permita la ejecución del código, adicionando una capa de seguridad.
  • Verificar que “Unidades de red” se encuentre seleccionado para la Protección del sistema de archivos en tiempo real: así la Exploración en tiempo real del sistema de archivos se encontrará posibilitado de iniciar la detección en un equipo infectado, impidiendo que el proceso del ransomware encripte la unidad.
  • Asegurarse de que se encuentre activada la Protección contra Ransomware (productos ESET para Windows versión 10): como parte de la tecnología de Autodefensa constituye otra capa de protección que funciona como parte de la funcionalidad HIPS. ESET LiveGrid debe encontrarse habilitado para que la Protección contra Ransomware funcione adecuadamente.

También, recomendamos complementar dichas prácticas con las siguientes recomendaciones de seguridad en general:

  • Conserve copias de seguridad de su sistema
  • Cuente con una política clara de permisos de usuarios y restricción de derechos
  • Utilice doble factor de autenticación (2FA) para sus accesos
  • No deshabilite el Control de cuentas de usuario (UAC)
  • Proteja el Protocolo de Escritorio Remoto (RDP) de Windows a través del uso de VPN o con un Doble Factor de autenticación (2FA)
  • Deshabilite Macros en Microsoft Office mediante Políticas de grupo

El contexto de aislamiento debido al covid 19 llevó a un aceleramiento en la digitalización de los ecosistemas corporativos, pero en pos de establecer nuevas funcionalidades es fundamental contemplar el factor de seguridad en las habilitaciones que se vayan adoptando. Desde ESET recomendamos contar información y asesoramiento sobre cómo prevenir este y otros ataques informáticos para mantenerse seguros y competitivos en el mercado.

Categorías
Seguridad Titulares

Hacker ruso exige pago por US$ 10 millones a Garmin

Hacker ruso exige pago por US$ 10 millones a Garmin
  • Evil Corp, dirigida por el fugitivo más buscado por el FBI, Maksim Yakubets, realizó un ataque ransomware la semana pasada.

Nueva York, EE.UU. 27 julio, 2020. Garmin, la empresa de tecnología GPS con sede en Kansas, fue objeto de un ciberataque masivo que incluye un sofisticado programa de rescate desarrollado por el grupo de hackers rusos Evil Corp, que ahora exige un pago por US$ 10 millones para liberar a la empresa de sus garras.

El jueves por la mañana, los clientes no pudieron acceder a las aplicaciones de los dispositivos Garmin. El sistema de comunicación de la compañía también fue desactivado en el ataque, lo que le impidió solucionar los problemas con sus clientes.

Sin embargo, durante el fin de semana, la empresa publicó en Twitter Preguntas Frecuentes para ayudar a sus clientes a entender lo que está sucediendo.

Evil Corp, que se lanzó en 2009, está dirigida por Maksim Yakubets, un extravagante playboy ruso que posee un tigre como mascota y tiene un Lamborghini fabricado a medida con una patente personalizada que dice “LADRÓN” en ruso. Está entre los más buscados del FBI en todo el mundo con una recompensa de US$ 5 millones por información que lleve a su captura y condena.

Pero en su país de origen, particularmente en Moscú, se le describe como “intocable”. El multimillonario ha publicado vídeos en los medios sociales en los que conduce círculos alrededor de las patrullas de policía de Moscú, con los neumáticos chirriando. Se dice que posee una flota entera de los llamados “superdeportivos” que ha comprado con las ganancias del trabajo de Evil Corp.

Más información sobre las actividades ilícitas de Evil Corp, las puede encontrar en blog de KrebsOnSecurity.

La opinión de los expertos en ciberseguridad y agencias de inteligencias es que Yakubets, quien usa el identificador de hackers “Aqua”, es en realidad un agente ruso de la Agencia de Inteligencia FSB. De hecho, en 2017, el Departamento del Tesoro de los Estados Unidos alegó que era un activo de la inteligencia rusa.

Así que ahora Garmin está en un aprieto si está pensando en pagar los US$ 10 millones por el rescate para volver a tener sus servicios en línea. El Departamento del Tesoro sancionó a Evil Corp. el pasado diciembre por causar más de US$ 100 millones en daños al sistema financiero norteamericano – y pagar el rescate sería una violación de esas sanciones.

El mes pasado, los expertos en seguridad cibernética anunciaron que Evil Corp había lanzado una nueva ola de ataques con rescates. Estos afectaron a más de 30 corporaciones norteamericanas, incluyendo ocho compañías de Fortune 500.

Categorías
Seguridad Titulares

Grupo de hackers tiene como objetivo a quienes trabajan desde sus casas

Grupo de hackers tiene como objetivo a quienes trabajan desde sus casas
  • Evil Corp ya ha atacado a 31 corporaciones con ataques de rescate.

San Francisco, EE.UU. 30 junio, 2020. Los expertos en seguridad advierten que un equipo de hackers rusos tiene como objetivo a empresas estadounidenses, atacando a sus empleados que trabajan desde sus casas con ataques de rescate.

Symantec fue el primero en alertar al público sobre el problema, señalando que el grupo Evil Corp ha sido responsable de una serie de ataques que ya han afectado al menos a 31 corporaciones estadounidenses.

Evil Corp está utilizando una forma relativamente nueva de rescate llamada WastedLocker para paralizar la infraestructura de TI de la empresa objetivo con el fin de exigir rescates multimillonarios.

La alerta de seguridad de Symantec dice:

“WastedLocker es una clase relativamente nueva de software de rescate dirigido, documentado justo antes de nuestra publicación NCC Group, mientras Symantec realizaba actividades de divulgación en las redes afectadas… Los ataques comienzan con un marco malicioso basado en JavaScript conocido como SocGholish, que involucra a más de 150 sitios web y que se disfraza como una actualización de software. Una vez que los atacantes obtienen acceso a la red de la víctima, utilizan el malware de productos básicos de Cobalt Strike junto con una serie de herramientas para robar credenciales, escalar privilegios y moverse por la red para desplegar el rescate de WastedLocker en varios computadores”.

Para más detalles sobre los ataques desde la perspectiva de un profesional de informática, haga clic aquí:
https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/wastedlocker-ransomware-us

Evil Corp ha estado previamente asociada con el troyano bancario Dridex y el software de rescate BitPaymer, que se cree que han hecho ganar a sus creadores decenas de millones de dólares. Dos hombres rusos que supuestamente están involucrados en el grupo tienen acusaciones abiertas contra ellos en los EE.UU.

Categorías
Seguridad

El bufete de abogados pirateado puede haber tenido Pulse Secure VPN sin parchear

El bufete de abogados pirateado puede haber tenido Pulse Secure VPN sin parchear

Nueva York. EE.UU. 23 junio, 2020. Con el avance tecnológico llegan nuevos tipos de problemas, en este contexto la ciberseguridad cada día flaquea más ante los ataques de pandillas cibernéticas. Una importante firma de abogados en New York fue víctima de un ataque el pasado mes de mayo 2020 debido que no habían actualizado el parche de seguridad de su VPN (Virtual Private Network).

El bufete de abogados Grubman Shire Meiselas and Sacks, es famoso por tener como clientes varias celebridades del mundo de la música, bandas como U2 o cantantes como Rod Stewart y Lady Gaga figuran en su lista de asesorados.

Sin embargo, el bufete fue noticia no por esto sino porque fue atacado por un software malicioso conocido como ransomware, que se filtraría hasta la red del bufete debido a que el servidor Pulse Secure VPN, que usaba la firma como protección estaba vulnerable por no haber sido parcheado.

Esto quiere decir entre otras cosas que no basta solo con tener una VPN para proteger nuestra información, sino que debemos usar una buena VPN para Windows y actualizarla configurando los parches de seguridad cuando estos salen.

¿Qué es el ransomware?

El ransomware es un software maliciosos que entra en nuestro PC para mostrar mensajes extorsionadores, esos exigen un pago para poder restablecer el funcionamiento adecuado de nuestro sistema.

También conocidos como malware, es usado por cibercriminales para ganar dinero a través de links engañosos o mensajes de correo electrónico. Este tipo de programa puede incluso bloquear la pantalla de un PC o cifrar archivos con una contraseña que hace difícil la recuperación de estos.

Algunas de las maneras que este malware se presenta antes nosotros es adoptando la forma de un antivirus y mostrando un menaje de problemas en el sistema, de tal forma que necesitamos pagar en línea para poder corregir dichos problemas.

Otros de sus modos de operación involucran dejar el PC sin funcionar cada cierto tiempo, demostrando que está “secuestrada” y que deberemos pagar rescate para recuperarla. Asimismo, envían mensajes diciendo que el usuario del PC fue atrapado haciendo actividades ilegales en línea y que tienen evidencia en fotos, videos, etc., y que de no pagar harán pública la información.

El bufete de abogados pirateado puede haber tenido Pulse Secure VPN sin parchear

La importancia de las actualizaciones de software y los parches

Las VPN también son programas de software es por eso que mantenerlas actualizadas no solo garantizan un trabajo más eficiente, sino que permiten mejorar nuestra seguridad y privacidad. Actualizar un software agrega nuevas funciones a un programa y elimina funciones obsoletas, asimismo, corrigen errores y lo más importante: reparan vulnerabilidades que han sido detectadas.

La vulnerabilidad es una debilidad de seguridad dentro de un programa, estos fallos son aprovechados por hackers para agregar malware en dichos software. Al interactuar con el programa que tiene la falla el malware puede infectar nuestro equipo y realizar la tarea para la que fue creada.

Los malware pueden no solo robar nuestra información, sino también tomar el control de nuestro equipo e incluso dañarlo. Es por eso que los parches de seguridad o actualizaciones son tan importantes, pues son la manera que tenemos de defender nuestra seguridad ante estos ataques.

Sin intención de pagar rescate

Luego que la pandilla conocida como REvil perpetrara el cibercrimen contra el bufete de abogados, al no recibir el dinero solicitado publicó documentos legales de unos de los clientes más famosos de la firma: Lady Gaga. En las últimas semanas de mayo aumentó la cantidad de dinero que quiere recibir junto a la amenaza de publicar documentos que tienen del presidente Trump.

El bufete de abogados Grubman Shire Meiselas y Sacks nunca ha tenido como cliente al presidente de Estados Unidos, y debido a los comentarios de la ciberbanda ahora el FBI se encuentra investigando el incidente.

El ataque fue hecho a principios del mes de mayo, donde se secuestraron documentos legales de los clientes de la firma de abogados, para su rescate exigieron US$ 21 millones, que luego fueron aumentados a US$ 42 millones.

A pesar de esto, el bufete se niega a pagar el rescate, comentan que la información relacionada con el presidente Trump es solo referencial y que no tienen nada que temer, además agregan que están trabajando junto al FBI para dar con los criminales.

Como ves el uso de una VPN sin estar al día con sus actualizaciones no es garantía real de seguridad. Todo programa que tengas para tu seguridad, sea un antivirus o cualquier software dedicado a esto debe poder ofrecerte actualizaciones y correcciones de vulnerabilidad.

Asimismo, el uso de versiones gratis tampoco son sinónimo de privacidad o seguridad, es por eso que si decides usar una red virtual para mejorar la seguridad de tu conexión debes escoger una buena que además te permita instalar parches de seguridad con frecuencia.